Múltiples vulnerabilitats en OpenSSL
Estes vulnerabilitats podrien causar denegació de servici, evasió de restriccions de seguretat i obtenció d’informació privilegiada.
Risc: Mitjà
S’han descobert múltiples vulnerabilitats en OpenSSL 1.x i anteriors. Les vulnerabilitats es descriuen a continuació:
- CVE-2011-4108:S’ha descobert una vulnerabilitat en la implementació DTLS que realitza una comprovació MAC únicament si el padding és vàlid.
- CVE-2011-4109: S’ha descobert una vulnerabilitat de doble alliberament de memòria. Un atacant remot podria obtindre un impacte desconegut provocant una fallada en la comprovació de la política.
- CVE-2011-4576: S’ha descobert un error en la inicialització de les estructures de dades. Un atacant remot podria obtindre informació privilegiada.
- CVE-2011-4577: Un atacant remot podria causar una denegació de servici per mitjà d’un certificat X.509 especialment dissenyat.
- CVE-2011-4619: Un error en la implementació del SGC (Server Gated Cryptography) permet a atacants remots causar una denegació de servici per mitjà de mètodes no especificats.
- CVE-2012-0027: S’ha descobert una vulnerabilitat en l’engine GHOST que no valida correctament els paràmetres per al xifrat GOST. Un atacant remot podria causar una denegació de servici per mitjà de tràfic TLS especialment dissenyat.
Sistemes Afectats: OpenSSL 0.x
OpenSSL 1.x
Referències: CVE-2011-4108, CVE-2011-4109, CVE-2011-4576, CVE-2011-4577, CVE-2011-4619, CVE-2012-0027
Solució:Actualitzar a OpenSSL1.0.0f o OpenSSL 0.9.8s, disponibles ací.
Notes: http://openssl.org/news/secadv_20120104.txt
http://secunia.com/advisories/47426/