Múltiples vulnerabilidades en OpenSSL

Internet IbizaSin categoría, Tecnología

Fecha: 12/06/2015

Descripción: 

Se han liberado actualizaciones para OpenSSL que corrigen varias vulnerabilidades de denegación de servicio (DoS), corrupción de memoria y de susceptibilidad a ataques man in the middle (Logjam).

Detalle: 

Las vulnerabilidades corregidas se detallan a continuación:

  • Fallo en la negociación de claves Diffie-Hellman (DH) implementado en TLS (LogJam), lo que provoca la exposición a ataques man in the middle. Se ha asignado el identificador CVE-2015-4000.
  • Vulnerabilidad en el módulo de criptografía de curva elíptica. Al procesar parámetros ECParameters malformados puede producirse un bucle infito que derive en la denegación de servicio. Se ha asignado el identificador CVE-2015-1788.
  • Denegacion de servicio provocado por la lectura fuera de límite en la utilidad X509_cmp_time. Se ha asignado el identificador CVE-2015-1789.
  • Vulnerabilidad al procesar estructuras PKCS#7 que puede provocar un fallo por referencia a puntero nulo al parsear estructuras malformadas. Se ha asignado el identificador CVE-2015-1790.
  • Denegación de servicio en el código CMS cuando se verifican datos firmados con una funcion hash desconocida. Se ha asignado el identificador CVE-2015-1792.
  • Vulnerabilidad de condición de carrera en el procesado de tickets. Se ha reservado el identificador CVE-2015-1791.
  • Fallo de corrupción de memoria en DTLS. Esta vulnerabilidad no afecta a la versión actual de OpenSSL, solo versiones anteriores a 1.0.1 y anteriores. Se ha reservado el identificador CVE-2014-8176.

Múltiples vulnerabilidades en OpenSSL
¿Cuál es tu opinión?