Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/10/2014
Fuga de memòria SRTP
Una debilitat en l’extensió DTLS SRTP permet a un atacant causar una fuga de memòria enviant un missatge de handshake modificat. S’ha reservat l’identificador CVE-2014-3513 per a esta vulnerabilitat.
Fuga de memòria amb tiquet de sessió
Quan el servidor rep un tiquet de sessió, este verifica la seua integritat, i si esta verificació falla es produïx una fuga de memòria. És possible causar una denegació de servici enviant múltiples tiquets invàlids. S’ha reservat l’identificador CVE-2014-3567 per a esta vulnerabilitat.
SSL 3.0 Fallback protection
S’hi afig suport per a TLS_FALLBACK_SCSV.
L’opcióno-ssl3 és incompleta
Quan es compila OpenSSL amb no-ssl3, els servidors podrien acceptar i completar un handshake SSL 3.0. S’ha reservat l’identificador CVE-2014-3568 per a esta vulnerabilitat.
Sistemes Afectats:OpenSSL, versions 1.0.1, 1.0.0 i 0.9.8.
Referències:None
Solució:OpenSSL Security Advisory [15 Oct 2014]