Actualización de OpenSSL que soluciona dos problemas de seguridad


El problema más grave, solucionado con la actualización, podría permitir ejecutar código arbitrario.





OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

Andy Polyakov ha descubierto un fallo en la implementación DTLS de OpenSSL que podría permitir comprometer clientes y servidores con esta funcionalidad habilitada. Se piensa que la vulnerabilidad podría llegar a permitir la ejecución de código. DTSL es una variante de TLS (la 'evolución' de SSL) pero basado en datagramas, para proteger por ejemplo tráfico UDP. Sólo los sistemas que utilicen específicamente DTLS pueden verse afectados por este fallo. OpenSSL introdujo esta funcionalidad hace relativamente poco, en su versión 0.9.8. Las versiones vulnerables son la anterior a la 0.9.8f.

Moritz Jodeit ha encontrado también un fallo "off by one" en la función SSL_get_shared_ciphers. No es habitual el uso de esta función fuera de entornos de depuración o pruebas. No se ha concretado el potencial impacto de esta vulnerabilidad. Se ven afectadas las versiones anteriores a la 0.9.8f y anteriores a 0.9.7m. Este fallo es distinto a otro especificado recientemente en la misma función.

Se recomienda actualizar a las últimas versiones desde www.openssl.org. Algunas distribuciones ya han comenzado a distribuir paquetes precompilados que solucionan las vulnerabilidades.

OpenSSL Security Advisory [12-Oct-2007]
http://www.openssl.org/news/secadv_20071012.txt

Fuente:
http://www.hispasec.com

 

 

 



Otras noticias de interés:

Vulnerabilidad en la convergencia IP
Hoy en día, la convergencia de las comunicaciones corporativas de voz, datos y video en una única red IP, desde cualquier ubicación y a través de diferentes tecnologías de acceso (Ethernet, ADSL, WiFi, 2.5G, 3G, WiMax, Satélite), es ya una real...
Cross site scripting en phpMyAdmin
El equipo de phpMyAdmin ha publicado una alerta informando de un fallo en la funcionalidad structure snapshot al no realizar correctamente la validación de los datos pasados a través de los parámetros tabla, columna e índice. ...
Problemas con los accesos directos de Windows
Se ha detectado un problema en el manejo de accesos directos de Windows. Si se crea uno de forma maliciosa, puede provocarse la caída del explorer.exe (shell32.dll). Esta vulnerabilidad ha sido probada en 98, 2000 Server y 2000 Professional....
Seis errores comunes alrededor de las aplicaciones Cloud Computing
Que el concepto Cloud Computing es algo que ha calado en el mundo de las TIC es algo que nadie duda. Sin embargo, todavía hay cierta confusión sobre cómo funcionan las aplicaciones cloud o el impacto que puedan tener a largo plazo sobre la tecnolo...
Adobe publica cinco boletines de seguridad
Adobe ha publicado cinco boletines de seguridad (del APSB11-19 al APSB11-23) para tratar problemas en Adobe Shockwave Player, Flash Media Server, Flash Player, Photoshop CS5 y RoboHelp. En total se han corregido 23 vulnerabilidades....
El troyano Ginwui aprovecha una vulnerabilidad no corregida en Microsoft Word
Durante el pasado fin de semana ha sido descubierto un nuevo troyano, reconocido como Win32/Ginwui. El troyano, aprovecha un problema de seguridad en Microsoft Word para realizar acciones encubiertas en los sistemas a los que llega....
Manifiesto de las Comunidades de Software Libre de Venezuela
En el marco de las I Jornadas de Investigación y Desarrollo de Tecnologías Libres [1], promovidas por CENDITEL Mérida [2], integrantes de la comunidad de software libre venezolano, nos dimos a la tarea de generar un manifiesto, como un preámbulo ...
RIM lanzó una actualización para PlayBook
Se trata de una nueva versión de OS 2.0.1 que agregará algunas funcionalidades y corregirá algunos errores del funcionamiento que presentaba el dispositivo. Entre los cambios se destacan avances en el navegador de internet y el soporte para aplica...
Switch Dispositivo de Networking.
Un Switch es un dispositivo de Networking situado en la capa 2 del modelo de referencia OSI (no confundir con ISO: Organización Internacional para la Normalización). En esta capa además se encuentran las NIC (Netwok Interface Card; Placa de Red) ...
Urge Trend Micro a fortalecer la cultura de la seguridad informática
Trend Micro señaló que es urgente fortalecer la cultura de seguridad informática, luego de que en la semana pasada el gusano Netsky.C ocasionara la primera alerta roja y se sumará a las cuatro advertencias amarillas en lo que va del año. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • actualizacion
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • dos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • openssl
  • pgp
  • php
  • problemas
  • sabayon
  • seguridad
  • soluciona
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra