Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/09/2011
OpenSSL és un projecte per a desenrotllar una implementació robusta del Protocol de Capa de Connexió Segura (SSL v2/v3), dels protocols de seguretat en la capa de transport (TLS v1), així com d'una llibreria criptogràfica de propòsit general.
La primera de les vulnerabilitats corregides, identificada com CVE-2011-3207, és un error en validar CRL. Aquesta fallada permet a un atacant validar com correcte un certificat especialment dissenyat, per exemple fent ús de X509_V_FLAG_CRL_CHECK o X509_V_FLAG_CRL_CHECK_ALL.
La segona fallada solucionada és un error en 'ephemeral ECDH ciphersuites', que permet provocar una denegació de servei a través de peticions en un orde incorrecte. Com contramesura es pot desactivar 'ephemeral ECDH ciphersuites'. Aquesta fallada s'ha identificat amb el CVE-2011-3210
Sistemes Afectats:OpenSSL 1.0.0
Referències:CVE-2011-3207,CVE-2011-3210
Solució:Actualitzeu la versió.
Notes:http://www.openssl.org/news/secadv_20110906.txt
http://www.hispasec.com/unaaldia/4705