miércoles, 4 de mayo de 2016

Nuevas vulnerabilidades en OpenSSL

Como ya os he adelantado esta mañana por Twitter, OpenSSL ha publicado una actualización de seguridad donde se corrigen 6 nuevas vulnerabilidades.

  • CVE-2016-2105: Overflow en la función EVP_EncodeUpdate() que permite a un atacante provocar una “heap corruption”.
  • CVE-2016-2106. Otro overflow en la función EVP_EncodeUpdate() que también permite a un atacante provocar una “heap corruption”.
  • CVE-2016-2107: Un fallo en la implementación del cifrado AES CBC permite a un atacante descifrar el trafico cifrado por TLS.
  • CVE-2016-2108: Dos vulnerabilidades en el encoder ASN.1 permite la escritura fuera de bordes.
  • CVE-2016-2109: Un fallo cuando la información de ASN.1 es leída desde una BIO, permite a un atacante provocar un uso excesivo de recursos o de la memoria.
  • CVE-2016-2176: Otro fallo en ASN.1 cuando los string superan los 1024 bytes permite a un atacante permite insertar información arbitraria.

Productos afectados:
  • OpenSSL 1.0.2
  • OpenSSL 1.0.1 

Solución:
  • Para OpenSSL 1.0.2 actualizar hasta la versión 1.0.2c
  • Para OpenSSL 1.0.1 actualizar hasta la versión 1.0.1o

Más información: 

No hay comentarios:

Publicar un comentario