Actualización de OpenSSL que soluciona dos problemas de seguridad


El problema más grave, solucionado con la actualización, podría permitir ejecutar código arbitrario.





OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

Andy Polyakov ha descubierto un fallo en la implementación DTLS de OpenSSL que podría permitir comprometer clientes y servidores con esta funcionalidad habilitada. Se piensa que la vulnerabilidad podría llegar a permitir la ejecución de código. DTSL es una variante de TLS (la 'evolución' de SSL) pero basado en datagramas, para proteger por ejemplo tráfico UDP. Sólo los sistemas que utilicen específicamente DTLS pueden verse afectados por este fallo. OpenSSL introdujo esta funcionalidad hace relativamente poco, en su versión 0.9.8. Las versiones vulnerables son la anterior a la 0.9.8f.

Moritz Jodeit ha encontrado también un fallo "off by one" en la función SSL_get_shared_ciphers. No es habitual el uso de esta función fuera de entornos de depuración o pruebas. No se ha concretado el potencial impacto de esta vulnerabilidad. Se ven afectadas las versiones anteriores a la 0.9.8f y anteriores a 0.9.7m. Este fallo es distinto a otro especificado recientemente en la misma función.

Se recomienda actualizar a las últimas versiones desde www.openssl.org. Algunas distribuciones ya han comenzado a distribuir paquetes precompilados que solucionan las vulnerabilidades.

OpenSSL Security Advisory [12-Oct-2007]
http://www.openssl.org/news/secadv_20071012.txt

Fuente:
http://www.hispasec.com

 

 

 



Otras noticias de interés:

Microsoft quita importancia al fallo en TCP/IP
Este miércoles, Microsoft publicó uno de sus primeros avisos de seguridad denominados Microsoft Security Advisories (identificado como 899480), y que responde a informes de una vulnerabilidad en Windows que podría permitir ataques de denegac...
Microsoft solucionará 49 vulnerabilidades!
Si ya los usuarios no tenían suficiente con los 23 parches que arregló Adobe esta última semana, ahora deberán concentrarse en su sistema operativo, ya que en su ciclo habitual de actualizaciones que publica Microsoft los segundos martes de cada ...
Encuentran la primera vulnerabilidad en Firefox 3
Cinco horas después de que Mozilla lanzara oficialmente Firefox 3.0, investigadores encontraron una vulnerabilidad en el nuevo navegador....
Llegó Super OS 10.04
Basado en Ubuntu y conocido como Super Ubuntu, no es más que Ubuntu 10.04 Lucid Lynx tonificado y fortificado. Super Ubuntu, tuvo que cambiar su nombre a Super OS por problemas de licencias. ...
Mañana en España la LSSI
Mañana 12 de Octubre entrará en vigor en España la polémica Ley de Servicios de la Sociedad de la Información y del Comercio electrónico, conocida como LSSI....
Controles ActiveX debilitan la seguridad en Internet Explorer
Aunque los ActiveX son parte de los componentes de Microsoft más allá de su uso en Internet Explorer (IE), su lugar en esta aplicación causa una preocupación que va en aumento a los usuarios y compañías de seguridad....
HP corrige vulnerabilidad detectada en sus impresoras
El fallo de seguridad que afecta a una docena de modelos de impresoras de la gama LaserJet Pro de HP ya puede ser corregido con la simple actualización del firmware de las impresoras afectadas. La vulnerabilidad podía permitir el acceso a los datos...
Ciberactivismo: Más fácil, pero más frustrante
En la nueva era digital, la conectividad de personas por todo el mundo es total. Es casi imposible mantener un secreto: internet sabe tu identidad, tus gustos, dónde vives y hasta qué pizza sueles comprar. Éste es el lugar en la que el ciberactivi...
MS y Yahoo! anuncian colaboración entre sus mensajeros
Con el auge de la mensajería en el mercado corporativo, las empresas comienzan a firmar los primeros acuerdos de interoperabilidad con el fin de ofrecer un mejor servicio a sus clientes. En este contexto, Microsoft y el portal de c...
Se filtra la lista de precios por los datos personales que vende Yahoo!
Yahoo está corriendo en círculos y golpeándose contra el escritorio luego de que la “lista de precios para fuerzas de orden e inteligencia” se filtrara en el sitio web Cryptome.org, avergonzando a Yahoo ante el mundo entero....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • actualizacion
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • dos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • openssl
  • pgp
  • php
  • problemas
  • sabayon
  • seguridad
  • soluciona
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra