Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/11/2016
OpenSSL soluciona tres vulnerabilitats
OpenSSL ha anunciat una nova versió destinada a corregir tres vulnerabilitats, una qualificada d’impacte alt, una altra d’importància mitjana i una de gravetat baixa.La primera vulnerabilitat CVE-2016-7054, de gravetat alta, podria permetre la realització d’atacs de denegació de servei en connexions que usen les suits de xifrat *-CHACHA20-POLY1305.
La següent vulnerabilitat, CVE-2016-7053, de criticitat mitjana, pot provocar una desreferència a punter nul i la consegüent denegació de servei.
Finalment, CVE-2016-7055, de criticitat baixa, provoca que un usuari remot puga enviar dades especialment dissenyades en certs casos, per a provocar errors en operacions de clau pública en configuracions en què múltiples clients remots seleccionen l’algoritme EC afectat, i on el servidor d’atacat comparteix una clau privada entre múltiples clients. També poden ocórrer fallades d’autenticació transitòria i de negociació de claus.
Sistemes Afectats:OpenSSL
Referències:CVE-2016-7054, CVE-2016-7053, CVE-2016-7055
Solució:OpenSSL ha publicat la versió 1.1.0c disponible des de http://openssl.org/source/
També es recorda per part d’OpenSSL que les versions 1.0.1 acaben el seu suport a finals d’any.
OpenSSL Security Advisory [10 Nov 2016]
https://www.openssl.org/news/secadv/20161110.txt