Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/03/2015
Nuevo boletín de seguridad de OpenSSL
En este boletín se corrigen un total de 12 vulnerabilidades, entre las que se incluyen 2 críticas.OpenSSL publicó ayer 19 de marzo un nuevo boletín de seguridad en el que se incluyen un total de 12 vulnerabilidades.
Entre ellas destacan dos categorizadas como críticas. La primera afecta a la versión 1.0.2 de OpenSSL y se trata de una denegación de servicio que se puede producir si un cliente renegocia la conexión con un conjunto de algoritmos de firma digital incorrecto. La segunda corresponde con la ya conocida vulnerabilidad FREAK, que se recategoriza a crítica, ya que se ha observado que el soporte a los algoritmos de cifrado vulnerables es mucho más alto de lo que se pensaba en un principio.
Se puede obtener más información del resto de vulnerabilidades tanto en el boletín de seguridad de OpenSSL (en inglés) como en el boletín publicado por Incibe.
Sistemas Afectados:OpenSSL versiones anteriores a:
- 1.0.2a
- 1.0.1m
- 1.0.0r
- 0.9.8zf
CVE-2015-0204, CVE-2015-0207, CVE-2015-0208, CVE-2015-0209, CVE-2015-0285, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0290, CVE-2015-0291, CVE-2015-0292, CVE-2015-0293, CVE-2015-1787
Solución:Actualizar los servicios para que utilicen las versiones de OpenSSL corregidas.
Notas: