Actualización de OpenSSL que soluciona dos problemas de seguridad


El problema más grave, solucionado con la actualización, podría permitir ejecutar código arbitrario.





OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

Andy Polyakov ha descubierto un fallo en la implementación DTLS de OpenSSL que podría permitir comprometer clientes y servidores con esta funcionalidad habilitada. Se piensa que la vulnerabilidad podría llegar a permitir la ejecución de código. DTSL es una variante de TLS (la 'evolución' de SSL) pero basado en datagramas, para proteger por ejemplo tráfico UDP. Sólo los sistemas que utilicen específicamente DTLS pueden verse afectados por este fallo. OpenSSL introdujo esta funcionalidad hace relativamente poco, en su versión 0.9.8. Las versiones vulnerables son la anterior a la 0.9.8f.

Moritz Jodeit ha encontrado también un fallo "off by one" en la función SSL_get_shared_ciphers. No es habitual el uso de esta función fuera de entornos de depuración o pruebas. No se ha concretado el potencial impacto de esta vulnerabilidad. Se ven afectadas las versiones anteriores a la 0.9.8f y anteriores a 0.9.7m. Este fallo es distinto a otro especificado recientemente en la misma función.

Se recomienda actualizar a las últimas versiones desde www.openssl.org. Algunas distribuciones ya han comenzado a distribuir paquetes precompilados que solucionan las vulnerabilidades.

OpenSSL Security Advisory [12-Oct-2007]
http://www.openssl.org/news/secadv_20071012.txt

Fuente:
http://www.hispasec.com

 

 

 



Otras noticias de interés:

Firefox 7 consumirá menos memoria
Firefox 7 será más rápido que sus predecesores, y además mejorará la gestión de la memoria....
Actualizaciones para ColdFusion y JRun
Adobe ha publicado múltiples actualizaciones para corregir diversas vulnerabilidades críticas en ColdFusion v8.0.1 (y versiones anteriores), y JRun 4.0. Estos problemas podrían permitir a un atacante comprometer las cuentas de usuario o los sistem...
BlackBerry admite problemas de seguridad
RIM, el fabricante de BlackBerry, ha emitido dos avisos de seguridad en los que advierte a los usuarios de su smartphone y a los administradores de sistemas BES (Blackberry Enterprise Server) de nuevas brechas de seguridad en varias versiones del sof...
Microsoft anuncia más parches para el próximo martes
Además de la actualización de seguridad publicada de forma adelantada la semana pasada, Microsoft anunció para el próximo martes 10 de abril, 5 nuevos boletines. ...
Investigadores crean una pantalla electrónica flexible ultradelgada
En un paso más hacia los periódicos electrónicos y las pantallas portátiles, un grupo de científicos ha creado una pantalla ultradelgada que se puede doblar, retorcer e incluso enrollar sin que los textos pierdan nitidez. ...
Safari y Firefox arreglan varias vulnerabilidades
Ambos navegadores lanzan actualizaciones para tapar agujeros de seguridad, muchos de ellos críticos....
Congreso Hacking en Bolivia
CIH2k5 pretende convertirse en el evento más importante sobre técnicas de hacking y seguridad informática en toda Latinoamérica. Este evento tendrá lugar en la ciudad de Santa Cruz de la Sierra los días 2, 3, 4 y 5 de marzo en Bolivia...
Mozilla corrige 30 vulnerabilidades
En sus últimas versiones (la 15 para Thunderbird y Firefox y la 2.12 para Seamonkey), la fundación Mozilla ha corregido 31 vulnerabilidades repartidas en 16 boletines para sus productos. Además, en esta versión introduce las actualizaciones sile...
Gusano se aprovecha de contraseñas nulas en SQL Server
Un gusano conocido como Voyager Alpha Force, se aprovecha de servidores Microsoft SQL Server instalados con contraseñas de administrador en blanco (sa), para la ejecución de un archivo ejecutable descargado de un sitio FTP en las Filipinas. ...
Actualización KB927891 para MS-Windows Instaler (MSI)
Microsoft publicó una actualización automática para corregir un problema de Windows Installer (MSI) que puede afectar al rendimiento durante las actualizaciones de software....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • actualizacion
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • dos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • openssl
  • pgp
  • php
  • problemas
  • sabayon
  • seguridad
  • soluciona
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra