Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/01/2014
Se ha informado de diversas vulnerabilidades en OpenSSL, que podrían ser aprovechadas por atacantes maliciosos para provocar una denegación de servicio.
1) Un error en la función "ssl_get_algorithm2()" (ssl/s3_lib.c) puede ser explotado para provocar un fallo en la aplicación.
2) Un error cuando se manejan DTLS puede ser aprovechado para provocar un fallo en la aplicación.
Esta vulnerabilidad está reportada en versiones de la 1.0.0 a la 1.0.1e.
3) Un error en la función "ssl3_take_mac()" (ssl/s3_both.c) cuando se configura un nuevo cifrado puede ser aprovechado para provocar una excepción por un puntero a NULL a través de un saludo (handshake) TLS especialmente diseñado.
Las vulnerabilidades #1 y #3 están reportadas en las versiones de la 1.0.1 a la 1.0.1e.
Sistemas Afectados:OpenSSL 1.x
Referencias:CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
Solución:Actualizar a la versión 1.0.1f.
Notas: