Actualización de OpenSSL que soluciona dos problemas de seguridad - xombra.com



El problema más grave, solucionado con la actualización, podría permitir ejecutar código arbitrario.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

Andy Polyakov ha descubierto un fallo en la implementación DTLS de OpenSSL que podría permitir comprometer clientes y servidores con esta funcionalidad habilitada. Se piensa que la vulnerabilidad podría llegar a permitir la ejecución de código. DTSL es una variante de TLS (la 'evolución' de SSL) pero basado en datagramas, para proteger por ejemplo tráfico UDP. Sólo los sistemas que utilicen específicamente DTLS pueden verse afectados por este fallo. OpenSSL introdujo esta funcionalidad hace relativamente poco, en su versión 0.9.8. Las versiones vulnerables son la anterior a la 0.9.8f.

Moritz Jodeit ha encontrado también un fallo "off by one" en la función SSL_get_shared_ciphers. No es habitual el uso de esta función fuera de entornos de depuración o pruebas. No se ha concretado el potencial impacto de esta vulnerabilidad. Se ven afectadas las versiones anteriores a la 0.9.8f y anteriores a 0.9.7m. Este fallo es distinto a otro especificado recientemente en la misma función.

Se recomienda actualizar a las últimas versiones desde www.openssl.org. Algunas distribuciones ya han comenzado a distribuir paquetes precompilados que solucionan las vulnerabilidades.

OpenSSL Security Advisory [12-Oct-2007]
http://www.openssl.org/news/secadv_20071012.txt

Fuente:
http://www.hispasec.com

 

 

 



Otras noticias de interes:

 Consejos útiles contra el malware 2.0 en Windows
Los consejos obsoletos ofrecen una falsa sensación de seguridad de la que se están aprovechando los atacantes. Muchas de las informaciones publicadas sobre seguridad en general y sobre malware en particular no han sabido renovarse, y se perpetúan coletillas y axiomas que (aunque útiles y necesarios) no se han matizado ni completado correctamente con el tiempo.
 Múltiples Vulnerabilidades en OpenSSL
El certificado de cliente OpenSSL posee vulnerabilidades múltiples que permiten posiblemente que alguien malicioso cause una negación del servicio (DoS) o tenga el acceso del sistema. El impacto de esta falla se cataloga de altamente crítico.
 BYOD, trae nuevos retos a la seguridad corporativa
Fortinet presenta los resultados de un estudio llevado a cabo para tratar a fondo el fenómeno del BYOD - Bring Your Own Device (trae tu propio dispositivo) - y sus implicaciones en la seguridad corporativa. Entre las principales conclusiones destaca el hecho de que los empleados consideran un privilegio poder utilizar sus propios dispositivos para trabajar, y les ayuda a ser más efectivos, pero también se sienten responsables de la seguridad de los mismos.
 Nace un programa que busca venganza.
Los especialistas en seguridad Backfire Security acaban de anunciar un nuevo programa que, según ellos, revolucionará la seguridad en Internet. Consiste en una discreta aplicación que busca venganza entre los crackers o creadores de virus que infecten el ordenador de la víctima.-
 IBM responde a Microsoft: OOXML es técnicamente inferior
Las declaraciones de Microsoft acusando a IBM de encabezar una campaña de desprestigio a OOXML ya tienen una contundente respuesta: El formato que los de Redmond pretenden imponer es técnicamente inferior a ODF y la compañía solo busca garantizar el monopolio impuesto por su suite ofimática cerrada.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • actualización

  • openssl

  • soluciona

  • dos

  • problemas

  • seguridad

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql