CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

01/02/2016

Es publiquen diverses vulnerabilitats en OpenSSL

OpenSSL ha publicat un butlletí on es mostren dos vulnerabilitats detectades en el seu producte.

Risc: Alt

La primera vulnerabilitat, de severitat alta (CVE-2016-0701) podria permetre la reutilització de nombres primers en la generació de claus per a noves sessions xifrades. Aquesta reutilització converteix els nombres primers esmentats en insegurs i podria permetre l’obtenció de l’exponent privat de les claus del servidor. Hi ha un paràmetre de configuració que evita aquest comportament, però estava per defecte desactivat. En la nova versió, a més d’activar aquest paràmetre per defecte, s’apliquen comprovacions per a evitar atacs d’aquest tipus.

La segona vulnerabilitat, de severitat baixa (CVE-2015-3197), permetria a un client maliciós negociar la connexió amb SSLv2 encara que s’hagueren desactivat totes les suites de xifratge de SSLv2, sempre que no s’haja deshabilitat explícitament el protocol utilitzant una altra opció específica per a això.

També s’ha millorat la protecció contra l’atac Logjam, augmentant la grandària mínima dels paràmetres acceptats de 768 bits a 1024 bits.

Finalment, en aquest butlletí es recorda que el suport per a les branques 0.9.8 i 1.0.0 d’OpenSSL va finalitzar el passat 31 de desembre de 2015, i el suport per a la branca 1.0.1 finalitzarà el pròxim 31 de desembre de 2016.

Sistemes Afectats:

OpenSSL versions anteriors a 1.0.2f i 1.0.1r

Referències:

CVE-2016-0701, CVE-2015-3197

Solució:

Actualitzar a les versions 1.0.2f i 1.0.1r d’OpenSSL.

Notes:

OpenSSL Security Advisory [28th Jan 2016]

Font: OpenSSL

CSIRT-CV