Actualización de OpenSSL que soluciona dos problemas de seguridad - xombra.com



El problema más grave, solucionado con la actualización, podría permitir ejecutar código arbitrario.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

Andy Polyakov ha descubierto un fallo en la implementación DTLS de OpenSSL que podría permitir comprometer clientes y servidores con esta funcionalidad habilitada. Se piensa que la vulnerabilidad podría llegar a permitir la ejecución de código. DTSL es una variante de TLS (la 'evolución' de SSL) pero basado en datagramas, para proteger por ejemplo tráfico UDP. Sólo los sistemas que utilicen específicamente DTLS pueden verse afectados por este fallo. OpenSSL introdujo esta funcionalidad hace relativamente poco, en su versión 0.9.8. Las versiones vulnerables son la anterior a la 0.9.8f.

Moritz Jodeit ha encontrado también un fallo "off by one" en la función SSL_get_shared_ciphers. No es habitual el uso de esta función fuera de entornos de depuración o pruebas. No se ha concretado el potencial impacto de esta vulnerabilidad. Se ven afectadas las versiones anteriores a la 0.9.8f y anteriores a 0.9.7m. Este fallo es distinto a otro especificado recientemente en la misma función.

Se recomienda actualizar a las últimas versiones desde www.openssl.org. Algunas distribuciones ya han comenzado a distribuir paquetes precompilados que solucionan las vulnerabilidades.

OpenSSL Security Advisory [12-Oct-2007]
http://www.openssl.org/news/secadv_20071012.txt

Fuente:
http://www.hispasec.com

 

 

 



Otras noticias de interes:

 Google ofrecerá firma única basada en OpenID
Google ha anunciado que se convertirá en proveedor de firma única (SSO- Single Sign On) utilizando soluciones OpenID. Gracias a ello, los usuarios de la compañía podrán crear nuevas cuentas en otros sitios autenticándose con la información de sus cuentas en Google.
 Vulnerabilidad en Windows permite ejecución de código
Microsoft Windows es afectado por una vulnerabilidad no
especificada, la cuál permite la ejecución arbitraria de
código de forma remota.
 Doce boletines para febrero, siete críticos
Para el próximo martes, Microsoft anuncia la publicación de al menos 12 boletines, con una extensa cantidad de vulnerabilidades solucionadas, según su notificación de adelanto de boletines de seguridad para febrero de 2008.
 Ransomware, el nuevo azote de la red.
El Ransomware podría convertirse de la mano de la Criptovirología y Kleptografía en el próximo azote de la red.
 Xbox hackeado!
Un estudiante del Massachusetts Institute of Technology (MIT) alega haber descubierto una manera de evadir seguridades instaladas en la consola de juegos de video Xbox, permitiendole cargar cualquier software que quiera. En el articulo encontrado en Yahoo! News, se menciona que debido a que el Xbox tiene basicamente la misma architectura que la de un PC, se podria correr cualquier programa compatible con un PC, incluyendo sistemas operativos alternos como GNU/Linux.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • actualización

  • openssl

  • soluciona

  • dos

  • problemas

  • seguridad

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql