Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/09/2011
OpenSSL 1.0.0e soluciona dos vulnerabilidades
Se ha publicado la versión 1.0.0e de OpenSSL que soluciona dos vulnerabilidades.OpenSSL es un proyecto para desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3), de los protocolos de seguridad en la capa de transporte (TLS v1) así como de una librería criptográfica de propósito general.
La primera de las vulnerabilidades corregidas, identificada como CVE-2011-3207, es un error al validar CRL. Este fallo permite a un atacante validar como correcto un certificado especialmente diseñado, por ejemplo haciendo uso de X509_V_FLAG_CRL_CHECK o X509_V_FLAG_CRL_CHECK_ALL.
El segundo fallo solucionado es un error en 'ephemeral ECDH ciphersuites', que permite provocar una denegación de servicio a través de peticiones en un orden incorrecto. Como contramedida se puede desactivar 'ephemeral ECDH ciphersuites'.
Este fallo se ha identificado con el CVE-2011-3210
OpenSSL 1.0.0
Referencias:CVE-2011-3207,CVE-2011-3210
Solución:Actualizar a la versión.
Notas:http://www.openssl.org/news/secadv_20110906.txt
http://www.hispasec.com/unaaldia/4705