Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/02/2016
Se publican varias vulnerabilidades en OpenSSL
OpenSSL ha publicado un boletín donde se muestran dos vulnerabilidades detectadas en su producto.La primera vulnerabilidad, de severidad alta (CVE-2016-0701) podría permitir la reutilización de números primos en la generación de claves para nuevas sesiones cifradas. Esta reutilización convierte a dichos números primos en inseguros y podría permitir la obtención del exponente privado de las claves del servidor. Existe un parámetro de configuración que evita este comportamiento, pero estaba por defecto desactivado. En la nueva versión, además de activar este parámetro por defecto, se aplican comprobaciones para evitar ataques de este tipo.
La segunda vulnerabilidad, de severidad baja (CVE-2015-3197), permitiría a un cliente malicioso negociar la conexión con SSLv2 aunque se hubieran desactivado todas las suites de cifrado de SSLv2, siempre que no se haya deshabilitado explícitamente el protocolo utilizando otra opción específica para ello.
También se ha mejorado la protección contra el ataque Logjam, aumentando el tamaño mínimo de los parámetros aceptados de 768 bits a 1024 bits.
Finalmente, en este boletín se recuerda que el soporte para las ramas 0.9.8 y 1.0.0 de OpenSSL finalizó el pasado 31 de diciembre de 2015, y el soporte para la rama 1.0.1 finalizará el próximo 31 de diciembre de 2016.
Sistemas Afectados:OpenSSL versiones anteriores a 1.0.2f y 1.0.1r
CVE-2016-0701, CVE-2015-3197
Solución:Actualizar a las versiones 1.0.2f y 1.0.1r de OpenSSL.
OpenSSL Security Advisory [28th Jan 2016]