Múltiples Vulnerabilidades en OpenSSL


El certificado de cliente OpenSSL posee vulnerabilidades múltiples que permiten posiblemente que alguien malicioso cause una negación del servicio (DoS) o tenga el acceso del sistema. El impacto de esta falla se cataloga de altamente crítico.





1) Los encodings ASN.1 que son rechazados por el programa de análisis porque son inválidos pueden causar un volcamiento de la memoria. Es actualmente desconocido si esto se podría explotar para ejecutar código arbitrario o para causar simplemente una negación del servicio.

2) Es posible causar fuera de los límites leídos proveiendo valores inusuales a la etiqueta ASN.1. Esto puede causar una negación del servicio (DoS).

3) si OpenSSL está adentro mode de depuración, una llave pública inválida en un certificado puede hacer que el código del validador colapse. Esto podía conducir a una negación del servicio contra los sistemas que funcionaban adentro del modo de depuración.

Este error hace que OpenSSL analice y maneje certificados de clientes incluso cuando OpenSSL no esta configurado para hacerlo.

La versión 0.9.6j y es anterioriores son vulnerables.
La versión 0.9.7b y es anterioriores son vulnerables.

SOLUCIÓN:
Las versiones 0.9.6k y 0.9.7c no son vulnerables.
HTTP://WWW.OPENSSL.ORG/SOURCE/OPENSSL-0.9.6k.tar.gz
HTTP://WWW.OPENSSL.ORG/SOURCE/OPENSSL-0.9.7c.tar.gz
HTTP://WWW.OPENSSL.ORG/SOURCE/OPENSSL-engine-0.9.6k.tar.gz

CRÉDITOS:
CONSULTIVO ORIGINAL DE NISCC:
HTTP://WWW.UNIRAS.GOV.UK/VULS/2003/006489/OPENSSL.HTM
HTTP://WWW.OPENSSL.ORG/NEWS/SECADV_20030930.TXT


OTRAS REFERENCIAS: http://www.kb.cert.org/vuls/id/732952


Fuente: Secunia Security Advisories

Otras noticias de interés:

Redes eléctricas vulnerables a ataques informáticos
HoustonChronicle.com ha publicado(*) que después del apagón sufrido en agosto en regiones de la costa este estadounidense se han puesto en marcha mejoras que dejan el suministro de electricidad vulnerable a diferentes tipos de peligros....
Nuevo malware afecta a Facebook
Es increíble que a estas alturas algunos usuarios no piensen antes de hacer click a alguna aplicación y/o enlace en la red social Facebook. ...
Hackeado el sistema de seguridad de iTunes
El noruego Jon Lech Johansen, más conocido como DVD Jon por burlar la protección anticopia de las películas en ese formato, ha reincidido en su ataque al sistema de descarga de música en línea iTunes, según el periódico digital IT-Avisen....
7 dudas sobre la Ley Sinde
Sigue habiendo alguna confusión en torno al funcionamiento de la Ley Sinde, o Sinde-Wert, a pesar de que ya ha entrado en vigor. A continuación resolvemos algunas dudas, como si puede tener influencia sobre las redes P2P, si es posible cerrar pági...
La verdadera importancia del backup
Mucho se habla de la importancia de las copias de seguridad, pero poco se sabe sobre cómo hacerlas - En este informe despejamos todas las dudas, para que nunca se pierdan los datos importantes. ...
La Comunicación indirecta, una realidad actual
Primero hablemos del concepto de comunicación indirecta: La comunicación indirecta se reconoce por tener como base un instrumento o herramienta de por medio, entre el receptor y el emisor ya que están a distancia....
Actualización de seguridad de IE (Javaprxy.dll)
Microsoft acaba de publicó una actualización de seguridad para la vulnerabilidad en el objeto COM de Javaprxy.dll...
Argentina: Censura de ningún tipo en Internet
En España la Ley Sinde, en EEUU la Ley Sopa (Stop Online Piracy Act) y la Ley Pipa (Protect IP Act), peligros inminentes para la libertad de expresión y para la internet en general como canal global de circulación de la información, ya que establ...
El derecho al olvido en internet
La Comisión Europea presentó una norma para garantizar el derecho al olvido en las redes sociales, lo que permitirá a los usuarios exigir a empresas como Facebook que borren completamente sus datos personales o fotos cuando se den de baja en el se...
Google alerta de 20 mil sitios infectados con malware
En la red se esconden páginas que han sido infectadas con contenido malicioso y que pueden poner en peligro nuestro computador si no tomamos las precauciones adecuadas (e incluso si las tomamos). La lucha de las empresas de seguridad por sacar a la ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • multiples
  • mysql
  • noticia
  • opensource
  • openssl
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra