jueves, 26 de junio de 2014

CVE-2014-0221.- OpenSSL Remote Denial of Service Vulnerability

Hace mas o menos una semana os hablé de [Qualys SSL Server Test] por la cantidad de servidores que a día de voy aun seguían sin estar parcheados contra la famosa vulnerabilidad en OpenSSL Heartbleed. Pero, hoy me ha hecho gracia ver, en un tweet de snifer todo se ha de decir,  una nueva vulnerabilidad en Open SSL. Vamos, que le están dando fino.


Os explico un poco de lo que es capaz esta vulnerabilidad CVE-2014-0221: 

Un atacante seria capaz, utilizando La función dtls1_get_message_fragment en d1_both.c en OpenSSL para provocar una denegación de servicio (la recursividad y la caída del cliente) a través de un mensaje de saludo DTLS en un hanshake DTLS no válido.

Se recomienda actualizar a las versiones: 
OpenSSL 0.9.8 SSL/TLS users (client and/or server) should upgrade to 0.9.8za. 
OpenSSL 1.0.0 SSL/TLS users (client and/or server) should upgrade to 1.0.0m. 
OpenSSL 1.0.1 SSL/TLS users (client and/or server) should upgrade to 1.0.1h.
Para mas información: 
 Sed Buenos con esto y actualizad ;) 

No hay comentarios:

Publicar un comentario