CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

20/04/2012

Múltiples vulnerabilitats en openssl

S’han trobat múltiples vulnerabilitats en OpenSSL.

Risc: Alt

CVE-2012-0884 Iván Nestlerode ha descobert una debilitat en les implementacions CM i PKCS#7 que podria permetre a un atacant desxifrar les dades a través dun Million Message Attack (MMA).

CVE-2012-1165 Sha descobert que un punter NULL podia deixar de fer referència, ja que tracta certs missatges S/MIME, i donar lloc a una denegació de servei.

CVE-2012-2110 Tavis Ormandy (Google Security Team) ha descobert una vulnerabilitat en la manera en què les dades ASN.1 DER-encoded es tracten, pot provocar un heap overflow.

A més, la solució per CVE-2011-4619 ha sigut actualitzada.

Sistemes Afectats:

OpenSSL

Referències:

CVE-2012-0884, CVE-2012-1165, CVE-2012-2110

Solució:

Per a la versió estable de Debian, Squeeze, estos problemes se solucionen en la versió 0.9.8o-4squeeze11.

Per a la versió de test, Wheezy, estos problemes seran solucionats en breu.

Per a la versió inestable, Sid, s’han solucionat en la versió 1.0.1a-1.

Recomanem l’actualització immediata dels paquets openssl.

Notes:

Més informació en http://www.debian.org/security/2012/dsa-2454

Font: Debian

CSIRT-CV