Múltiples vulnerabilidades en OpenSSL
Estas vulnerabilidades podrían causar denegación de servicio, evasión de restricciones de seguridad y obtención de información privilegiada.
Riesgo: Medio
Se han descubierto múltiples vulnerabilidades en OpenSSL 1.x y anteriores. Las vulnerabilidades se describen a continuación:
- CVE-2011-4108: Se ha descubierto una vulnerabilidad en la implementación DTLS que realiza una comprobación MAC únicamente si el padding es válido.
- CVE-2011-4109: Se ha descubierto una vulnerabilidad de doble liberación de memoria. Un atacante remoto podría obtener un impacto desconocido provocando un fallo en la comprobación de la política.
- CVE-2011-4576: Se ha descubierto un error en la inicialización de las estructuras de datos. Un atacante remoto podría obtener información privilegiada.
- CVE-2011-4577: Un atacante remoto podría causar una denegación de servicio mediante un certificado X.509 especialmente diseñado.
- CVE-2011-4619: Un error en la implementación del SGC (Server Gated Cryptography) permite a atacante remotos causar una denegación de servicio mediante métodos no especificados.
- CVE-2012-0027: Se ha descubierto una vulnerabilidad en el engine GHOST que no valida correctamente los parámetros para el cifrado GOST. Un atacante remoto podría causar una denegación de servicio mediante tráfico TLS especialmente diseñado.
Sistemas Afectados: OpenSSL 0.x
OpenSSL 1.x
Referencias: CVE-2011-4108, CVE-2011-4109, CVE-2011-4576, CVE-2011-4577, CVE-2011-4619, CVE-2012-0027
Solución:Actualizar a OpenSSL1.0.0f o OpenSSL 0.9.8s, disponibles aquí.
Notas: http://openssl.org/news/secadv_20120104.txt
http://secunia.com/advisories/47426/