CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

13/09/2011

OpenSSL 1.0.0e soluciona dues vulnerabilitats

S'ha publicat la versió 1.0.0e d'OpenSSL que soluciona dues vulnerabilitats.

Risc: Alt

OpenSSL és un projecte per a desenrotllar una implementació robusta del Protocol de Capa de Connexió Segura (SSL v2/v3), dels protocols de seguretat en la capa de transport (TLS v1), així com d'una llibreria criptogràfica de propòsit general.

La primera de les vulnerabilitats corregides, identificada com CVE-2011-3207, és un error en validar CRL. Aquesta fallada permet a un atacant validar com correcte un certificat especialment dissenyat, per exemple fent ús de X509_V_FLAG_CRL_CHECK o X509_V_FLAG_CRL_CHECK_ALL.

La segona fallada solucionada és un error en 'ephemeral ECDH ciphersuites', que permet provocar una denegació de servei a través de peticions en un orde incorrecte. Com contramesura es pot desactivar 'ephemeral ECDH ciphersuites'. Aquesta fallada s'ha identificat amb el CVE-2011-3210

Sistemes Afectats:

OpenSSL 1.0.0

Referències:

CVE-2011-3207,CVE-2011-3210

Solució:

Actualitzeu la versió.

Notes:

http://www.openssl.org/news/secadv_20110906.txt
http://www.hispasec.com/unaaldia/4705

Font: Hispasec una-al-día

CSIRT-CV