Múltiples Vulnerabilidades en OpenSSL


El certificado de cliente OpenSSL posee vulnerabilidades múltiples que permiten posiblemente que alguien malicioso cause una negación del servicio (DoS) o tenga el acceso del sistema. El impacto de esta falla se cataloga de altamente crítico.





1) Los encodings ASN.1 que son rechazados por el programa de análisis porque son inválidos pueden causar un volcamiento de la memoria. Es actualmente desconocido si esto se podría explotar para ejecutar código arbitrario o para causar simplemente una negación del servicio.

2) Es posible causar fuera de los límites leídos proveiendo valores inusuales a la etiqueta ASN.1. Esto puede causar una negación del servicio (DoS).

3) si OpenSSL está adentro mode de depuración, una llave pública inválida en un certificado puede hacer que el código del validador colapse. Esto podía conducir a una negación del servicio contra los sistemas que funcionaban adentro del modo de depuración.

Este error hace que OpenSSL analice y maneje certificados de clientes incluso cuando OpenSSL no esta configurado para hacerlo.

La versión 0.9.6j y es anterioriores son vulnerables.
La versión 0.9.7b y es anterioriores son vulnerables.

SOLUCIÓN:
Las versiones 0.9.6k y 0.9.7c no son vulnerables.
HTTP://WWW.OPENSSL.ORG/SOURCE/OPENSSL-0.9.6k.tar.gz
HTTP://WWW.OPENSSL.ORG/SOURCE/OPENSSL-0.9.7c.tar.gz
HTTP://WWW.OPENSSL.ORG/SOURCE/OPENSSL-engine-0.9.6k.tar.gz

CRÉDITOS:
CONSULTIVO ORIGINAL DE NISCC:
HTTP://WWW.UNIRAS.GOV.UK/VULS/2003/006489/OPENSSL.HTM
HTTP://WWW.OPENSSL.ORG/NEWS/SECADV_20030930.TXT


OTRAS REFERENCIAS: http://www.kb.cert.org/vuls/id/732952


Fuente: Secunia Security Advisories

Otras noticias de interés:

Vulnerabilidad en Bea WebLogic Server y Express
Bea WebLogic Server y Express se ven afectados en algunas de sus versiones por una vulnerabilidad que podría permitir que la respuestas HTTP puedan ser compartidas entre dos usuarios....
Parche para Wget en las principales distribuciones Linux
Varios suministradores de distribuciones Linux han emitido parches para cubrir un fallo de seguridad existente en un programa ampliamente utilizado para la búsqueda y carga de páginas web, denominado Wget....
Falla en Windows XP y 2003 permite ejecución remota de código
Microsoft anunció hoy la disponibilidad de un nuevo boletín de seguridad que corrige una falla en Centro de Ayuda y Soporte que podría posibilitar que un atacante ejecute cualquier acción en un ordenador vulnerable en forma remota. ...
INTECO: Estudio sobre la seguridad de las redes inalámbricas (wifi)
Las redes inalámbricas permiten a los usuarios acceder desde cualquier dispositivo a Internet en tiempo real y sin necesidad de cables, por lo que son las aliadas perfectas de las tecnologías móviles. ...
Nueva Versión de Coyote Linux Firewall
Una minidistribución de escasamente 18MB de peso, especialmente diseñada para hacer de Firewall y facilitar la compartición a Internet de múltiples máquinas. ...
OJO: Facebook te vigila
Facebook está vigilando las actualizaciones en muro y las conversaciones que los usuarios mantienen a través de su chat, supuestamente, con el fin de localizar actividades criminales y notificárselas a la policía....
El primer error fatal de Windows Vista.
Este fue el día que WINDOWS VISTA se colgó. En el SIMO 2006 todo era tranquilidad (la feria tampoco daba para mucho más). Entonces llegó la pantalla azul. Era ”EL PRIMER ERROR FATAL” que nos mostraban las nuevas ventanas de Microsoft. Tarde o...
Free Call proyecto GNU, un Skype libre!
Leyendo alt1040.com nos enteramos de una excelente noticia, en donde publican que ha visto la luz un nuevo proyecto libre para comunicación similar al conocido Skyper....
Lanzan un software gratuito que permite manejar la computadora a partir de movimientos de la cara
Fue desarrollado por la Universidad de Baleares y la empresa TAGRV para que las personas con discapacidades motrices puedan interactuar con cualquier equipo sin usar las manos. Funciona con una cámara web estándar y ya se puede descargar de Interne...
Más sitios Hackeados por UHFTeam Argentina
La gente de UHFTeam Argentina en un foro de hack especificamente de: .hackemate.com.ar han dejado una lista de sistios hackeados por ellos. Entre los que estan: HVEN.com.ve, otv.org y muchos otros. A continuación la lista presentada por SerVerG ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • multiples
  • mysql
  • noticia
  • opensource
  • openssl
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra