Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/02/2013
Actualització de seguretat per a OpenSSL
S’ha actualitzat OpenSSL per a arreglar una vulnerabilitat que permetria a un atacant realitzar atacs de MitM o intermediaris en determinades circumstàncies.Segons els investigadors, la vulnerabilitat permetria dur a terme atacs intermediaris amb els quals es podria aconseguir connexions TLS/DTLS en text pla, quan el mode d’operació CBC (Cipher-block chain) està habilitat. Un error de temporització en la forma en què treballa el desxifratge TLS quan s’utilitza CBC permetria, quan es donen una sèrie de circumstàncies, que un atacant poguera desxifrar informació confidencial com ara contrasenyes o galletes. Esta vulnerabilitat és parcialment mitigada quan s’utilitza OpenSSL junt amb el mòdul OpenSSL FIPS Object i quan el mode FIPS està habilitat.
Sistemes Afectats:Totes les versions d’OpenSSL estan afectades incloent-hi 1.0.1c, 1.0.0j i 0.9.8x.
Referències:CVE-2013-0169
Solució:Tots els usuaris afectats han d’actualitzar a OpenSSL 1.0.1d, 1.0.0k o 0.9.8y.
Notes:SSL, TLS and DTLS Plaintext Recovery Attack (CVE-2013-0169)