Nuevas versiones de OpenSSL solucionan cuatro vulnerabilidades
El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir cuatro vulnerabilidades, tres calificadas de impacto medio y otra de importancia baja.
El primer problema, con CVE-2017-3731, afecta a clientes o servidores SSL/TLS en sistemas 32bits cuando se usa un cifrado específico, entonces un paquete truncado puede provocar una lectura fuera de límites en ese servidor o cliente. Para OpenSSL 1.1.0 el fallo afecta cuando se usa CHACHA20/POLY1305; para OpenSSL 1.0.2 el problema se puede explotar con RC4-MD5.
Otra vulnerabilidad de gravedad media, con CVE-2017-3730, afecta a OpenSSL 1.1.0 si un servidor malicioso suministra parámetros incorrectos para un intercambio de claves DHE o ECDHE, puede provocar una desreferencia de puntero nulo en el cliente con la consiguiente caída. Un usuario malicioso podría provocar condiciones de denegación de servicio.
Otra vulnerabilidad de gravedad media, con CVE-2017-3732, reside en un error de propagación de acarreo en BN_mod_exp() puede permitir obtener determinada información sobre claves privadas en determinadas circunstancias. Se ven afectados sistemas configurados con parámetros DH persistentes y que compartan claves privadas entre múltiples clientes.
Por último, de gravedad baja y con CVE-2016-7055, las multiplicaciones Montgomery pueden producir resultados incorrectos. El problema fue corregido anteriormente en la versión 1.1.0c, por lo que solo afecta a versiones OpenSSL 1.0.2.
OpenSSL ha publicado las versiones 1.1.0d y 1.0.2k disponibles desde
También se recuerda que las versiones OpenSSL 1.0.1 finalizaron su soporte a finales del año pasado.
Más información:
OpenSSL Security Advisory [26 Jan 2017]
Antonio Ropero
Twitter: @aropero
Via: unaaldia.hispasec.com
Nuevas versiones de OpenSSL solucionan cuatro vulnerabilidades
Reviewed by Zion3R
on
16:38
Rating:
Reviewed by Zion3R
on
16:38
Rating:
