Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/02/2017
Esta nueva vulnerabilidad ha sido denominada “Encrypt-Then-Mac renegotiation crash“. Debido a este fallo de programación, es posible que si se intenta negociar el acuerdo con la extensión “Encrypt-Then-Mac” y esta no estaba incluida en el handshake original, podía hacer que todo OpenSSL dejara de funcionar en cualquiera de los dos extremos de la conexión, dependiendo del tipo de cifrado que se intentara aplicar.
Sistemas Afectados:
Esta vulnerabilidad solo afecta a la rama 1.1.0 de OpenSSL, por lo que los usuarios de esta versión deben asegurarse de instalar lo antes posible la última versión disponible que, en este caso, es la versión 1.1.0e. Los usuarios de la versión 1.0.2 de OpenSSL no están afectados.
Referencias:None
Solución:Actualizar a la última versión.
Notas:https://www.openssl.org/news/secadv/20170216.txt