Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

11/01/2012

Múltiples vulnerabilidades en OpenSSL

Estas vulnerabilidades podrían causar denegación de servicio, evasión de restricciones de seguridad y obtención de información privilegiada.

Se han descubierto múltiples vulnerabilidades en OpenSSL 1.x y anteriores. Las vulnerabilidades se describen a continuación:

• CVE-2011-4108: Se ha descubierto una vulnerabilidad en la implementación DTLS que realiza una comprobación MAC únicamente si el padding es válido.
• CVE-2011-4109: Se ha descubierto una vulnerabilidad de doble liberación de memoria. Un atacante remoto podría obtener un impacto desconocido provocando un fallo en la comprobación de la política.
• CVE-2011-4576: Se ha descubierto un error en la inicialización de las estructuras de datos. Un atacante remoto podría obtener información privilegiada.
• CVE-2011-4577: Un atacante remoto podría causar una denegación de servicio mediante un certificado X.509 especialmente diseñado.
• CVE-2011-4619: Un error en la implementación del SGC (Server Gated Cryptography) permite a atacante remotos causar una denegación de servicio mediante métodos no especificados.
• CVE-2012-0027: Se ha descubierto una vulnerabilidad en el engine GHOST que no valida correctamente los parámetros para el cifrado GOST. Un atacante remoto podría causar una denegación de servicio mediante tráfico TLS especialmente diseñado.

Sistemas Afectados:

OpenSSL 0.x
OpenSSL 1.x

Referencias:

CVE-2011-4108, CVE-2011-4109, CVE-2011-4576, CVE-2011-4577, CVE-2011-4619, CVE-2012-0027

Solución:

Actualizar a OpenSSL1.0.0f o OpenSSL 0.9.8s, disponibles aquí.

Notas:

http://openssl.org/news/secadv_20120104.txt
http://secunia.com/advisories/47426/

CSIRT-CV