Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/10/2014
Actualitzacions de seguretat per a OpenSSL
OpenSSL ha publicat actualitzacions que resolen diverses vulnerabilitats.Fuga de memòria SRTP
Una debilitat en l’extensió DTLS SRTP permet a un atacant causar una fuga de memòria enviant un missatge de handshake modificat. S’ha reservat l’identificador CVE-2014-3513 per a esta vulnerabilitat.
Fuga de memòria amb tiquet de sessió
Quan el servidor rep un tiquet de sessió, este verifica la seua integritat, i si esta verificació falla es produïx una fuga de memòria. És possible causar una denegació de servici enviant múltiples tiquets invàlids. S’ha reservat l’identificador CVE-2014-3567 per a esta vulnerabilitat.
SSL 3.0 Fallback protection
S’hi afig suport per a TLS_FALLBACK_SCSV.
L’opcióno-ssl3 és incompleta
Quan es compila OpenSSL amb no-ssl3, els servidors podrien acceptar i completar un handshake SSL 3.0. S’ha reservat l’identificador CVE-2014-3568 per a esta vulnerabilitat.
Sistemes Afectats:OpenSSL, versions 1.0.1, 1.0.0 i 0.9.8.
Referències:None
Solució:- OpenSSL 1.0.1: actualitzar a 1.0.1j.
- OpenSSL 1.0.0: actualitzar a 1.0.0o.
- OpenSSL 0.9.8: actualitzar a 0.9.8zc.
OpenSSL Security Advisory [15 Oct 2014]