Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/04/2012
CVE-2012-0884 Iván Nestlerode ha descobert una debilitat en les implementacions CM i PKCS#7 que podria permetre a un atacant desxifrar les dades a través d’un Million Message Attack (MMA).
CVE-2012-1165 S’ha descobert que un punter NULL podia deixar de fer referència, ja que tracta certs missatges S/MIME, i donar lloc a una denegació de servei.
CVE-2012-2110 Tavis Ormandy (Google Security Team) ha descobert una vulnerabilitat en la manera en què les dades ASN.1 DER-encoded es tracten, pot provocar un heap overflow.
A més, la solució per a CVE-2011-4619 ha sigut actualitzada.
Sistemes Afectats:OpenSSL
Referències:CVE-2012-0884, CVE-2012-1165, CVE-2012-2110
Solució:Per a la versió estable de Debian, Squeeze, estos problemes se solucionen en la versió 0.9.8o-4squeeze11.
Per a la versió de test, Wheezy, estos problemes seran solucionats en breu.
Per a la versió inestable, Sid, s’han solucionat en la versió 1.0.1a-1.
Recomanem l’actualització immediata dels paquets openssl.
Notes:Més informació en http://www.debian.org/security/2012/dsa-2454