Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/04/2012
Múltiples vulnerabilidades en openssl
Han sido encontradas múltiples vulnerabilidades en OpenSSL.CVE-2012-0884 Iván Nestlerode ha descubierto una debilidad en las implementacines CMS y PKCS#7 que podría permitir a un atacante descifrar los datos a través de un Million Message Attack (MMA).
CVE-2012-1165 Se ha descubierto que un puntero NULL podía dejar de hacer referencia al tratar ciertos mensajes S/MIME, dando lugar a una denegación de servicio.
CVE-2012-2110 Tavis Ormandy (Google Security Team), ha descubierto una vulnerabilidad en el modo en que los datos ASN.1 DER-encoded se tratan puede provocar un heap overflow.
Además, las solución para CVE-2011-4619 ha sido actualizada.
Sistemas Afectados:OpenSSL
Referencias:CVE-2012-0884, CVE-2012-1165, CVE-2012-2110
Solución:Para la versión estable de Debian, Squeeze, estos problemas se solucionan en la versión 0.9.8o-4squeeze11.
Para la versión de test, Wheezy, estos problemas serán solucionados en breve.
Para la versión inestable, Sid, se han solucionado en la versión1.0.1a-1.
Recomendamos la actualización inmediata de los paquetes openssl.
Notas:Más información en http://www.debian.org/security/2012/dsa-2454