Nuevas vulnerabilidades en OpenSSL

Como ya os he adelantado esta mañana por Twitter, OpenSSL ha publicado una actualización de seguridad donde se corrigen 6 nuevas vulnerabilidades.

• CVE-2016-2105: Overflow en la función EVP_EncodeUpdate() que permite a un atacante provocar una “heap corruption”.
• CVE-2016-2106. Otro overflow en la función EVP_EncodeUpdate() que también permite a un atacante provocar una “heap corruption”.
• CVE-2016-2107: Un fallo en la implementación del cifrado AES CBC permite a un atacante descifrar el trafico cifrado por TLS.
• CVE-2016-2108: Dos vulnerabilidades en el encoder ASN.1 permite la escritura fuera de bordes.
• CVE-2016-2109: Un fallo cuando la información de ASN.1 es leída desde una BIO, permite a un atacante provocar un uso excesivo de recursos o de la memoria.
• CVE-2016-2176: Otro fallo en ASN.1 cuando los string superan los 1024 bytes permite a un atacante permite insertar información arbitraria.

Productos afectados:

• OpenSSL 1.0.2
• OpenSSL 1.0.1 

Solución:

• Para OpenSSL 1.0.2 actualizar hasta la versión 1.0.2c
• Para OpenSSL 1.0.1 actualizar hasta la versión 1.0.1o

Más información: 

• https://www.openssl.org/news/secadv/20160503.txt

Sed Buenos ;)