Actualización de OpenSSL que soluciona dos problemas de seguridad - xombra.com



El problema más grave, solucionado con la actualización, podría permitir ejecutar código arbitrario.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

Andy Polyakov ha descubierto un fallo en la implementación DTLS de OpenSSL que podría permitir comprometer clientes y servidores con esta funcionalidad habilitada. Se piensa que la vulnerabilidad podría llegar a permitir la ejecución de código. DTSL es una variante de TLS (la 'evolución' de SSL) pero basado en datagramas, para proteger por ejemplo tráfico UDP. Sólo los sistemas que utilicen específicamente DTLS pueden verse afectados por este fallo. OpenSSL introdujo esta funcionalidad hace relativamente poco, en su versión 0.9.8. Las versiones vulnerables son la anterior a la 0.9.8f.

Moritz Jodeit ha encontrado también un fallo "off by one" en la función SSL_get_shared_ciphers. No es habitual el uso de esta función fuera de entornos de depuración o pruebas. No se ha concretado el potencial impacto de esta vulnerabilidad. Se ven afectadas las versiones anteriores a la 0.9.8f y anteriores a 0.9.7m. Este fallo es distinto a otro especificado recientemente en la misma función.

Se recomienda actualizar a las últimas versiones desde www.openssl.org. Algunas distribuciones ya han comenzado a distribuir paquetes precompilados que solucionan las vulnerabilidades.

OpenSSL Security Advisory [12-Oct-2007]
http://www.openssl.org/news/secadv_20071012.txt

Fuente:
http://www.hispasec.com

 

 

 



Otras noticias de interes:

 Apple mejora la seguridad en Safari
Safari 5.0.3 es la última versión del navegador de Apple con la que se resuelven varios bugs y se añaden algunas mejoras de estabilidad y seguridad.
 Expertos califican de insuficiente un reciente parche de Windows
Los expertos en seguridad informática de la compañía rumana GeCad aseguran haber encontrado métodos de ataque que eluden una de las actualizaciones más recientes de Windows.
 Hacker acusado de realizar operaciones no autorizadas de Bolsa
SecurityNewsPortal.com ha publicado que, por primera vez en su historia, Securities and Exchange Commission (SEC) ha iniciado una acción judicial contra un hacker como presunto autor de acciones ilegales en el mercado de valores.
 Ataques tecnológicos que explotan vulnerabilidades no tecnológicas
Siendo estrictos, es preciso diferenciar cuándo un ataque de ingeniería social (en adelante IS) es puramente digital o clásico, para poder percibir la gravedad de la presente situación. Con clásico nos referimos a aquel ataque de IS que emplea los medios de comunicación para alcanzar su fin (sin usar la tecnología), y por tanto, necesita una interacción voluntaria por parte de la víctima (debe al menos leerlo).
 Publicación del número 61 de "Phrack"
Acaba de publicarse el número 61 del conocido E-Zine "Phrack". "Phrack", que cuenta ya con más de 16 años de historia, se centra en los campos de "exploits" y nuevas tecnologías de "hacking", fundamentalmente en entornos informáticos.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • actualización

  • openssl

  • soluciona

  • dos

  • problemas

  • seguridad

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql