Actualización de OpenSSL que soluciona dos problemas de seguridad - xombra.com



OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

Andy Polyakov ha descubierto un fallo en la implementación DTLS de OpenSSL que podría permitir comprometer clientes y servidores con esta funcionalidad habilitada. Se piensa que la vulnerabilidad podría llegar a permitir la ejecución de código. DTSL es una variante de TLS (la 'evolución' de SSL) pero basado en datagramas, para proteger por ejemplo tráfico UDP. Sólo los sistemas que utilicen específicamente DTLS pueden verse afectados por este fallo. OpenSSL introdujo esta funcionalidad hace relativamente poco, en su versión 0.9.8. Las versiones vulnerables son la anterior a la 0.9.8f.

Moritz Jodeit ha encontrado también un fallo "off by one" en la función SSL_get_shared_ciphers. No es habitual el uso de esta función fuera de entornos de depuración o pruebas. No se ha concretado el potencial impacto de esta vulnerabilidad. Se ven afectadas las versiones anteriores a la 0.9.8f y anteriores a 0.9.7m. Este fallo es distinto a otro especificado recientemente en la misma función.

Se recomienda actualizar a las últimas versiones desde www.openssl.org. Algunas distribuciones ya han comenzado a distribuir paquetes precompilados que solucionan las vulnerabilidades.

OpenSSL Security Advisory [12-Oct-2007]
http://www.openssl.org/news/secadv_20071012.txt

Fuente:
http://www.hispasec.com

 

 

 


Guardar publicación en PDF

Otras noticias de interes:

 Vulnerabilidad en Explorador de Windows (OLE32.DLL)
El Explorador de Windows, es propenso a una vulnerabilidad capaz de corromper la memoria del programa, cuando intenta analizar determinados documentos malformados de Office. El componente afectado es OLE32.DLL.
 Un joven es acusado de estafar a internautas mediante una web falsa de AOL
Un adolescente de 17 años ha sido detenido por utilizar emails ?spam? y una página web falsa de AOL con el fin de engañar a los internautas y sustraerles información sobre tarjetas crédito y robar miles de dólares.
 Las amenazas de seguridad avanzadas
Se ha descubierto que, cada vez más, los responsables de seguridad han de hacer frente a amenazas más graves, pero pocos de ellos cuentan con la tecnología y el soporte para combatirlas.
 Los RAT, o troyanos de acceso remoto
Los troyanos de acceso remoto, también conocidos como RAT, están empezando a adentrarse en los dispositivos móviles, donde se les conoce como mRAT, un entorno en el que es mucho más difícil detectarlos.
 Alerta!!! nuevo gusano - NiceHello -
Se ha detectado la aparición de un nuevo gusano de correo electrónico con gran capacidad de propagación denominado NiceHello (W32/NiceHello). El cual ha comenzado a ocasionar incidencias causadas por este código malicioso, se aconseja a los usuarios extremar las precauciones con cualquier mensaje de correo electrónico recibido.

Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • actualización

  • openssl

  • soluciona

  • dos

  • problemas

  • seguridad

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql