Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/10/2014
Actualizaciones de seguridad para OpenSSL
OpenSSL ha publicado actualizaciones que resuelven varias vulnerabilidades.Fuga de memoria SRTP
Una debilidad en la extension DTLS SRTP permite a un atacante causar una fuga de memoria enviando un mensaje de handshake modificado. Se ha reservado el identificador CVE-2014-3513 para esta vulnerabilidad.
Fuga de memoria con ticket de sesion
Cuando el servidor recibe un ticket de sesion, este verifica su integridad, y si esta verificación falla se produce una fuga de memoria. Es posible causar una denegación de servicio enviando múltiples tickets inválidos. Se ha reservado el identificador CVE-2014-3567 para esta vulnerabilidad.
SSL 3.0 Fallback protection
Se añade soporte para TLS_FALLBACK_SCSV.
La opción no-ssl3 es incompleta
Cuando se compila OpenSSL con no-ssl3, los servidores podrían aceptar y completar un handshake SSL 3.0. Se ha reservado el identificador CVE-2014-3568 para esta vulnerabilidad.
Sistemas Afectados:OpenSSL, versiones 1.0.1, 1.0.0 y 0.9.8.
Referencias:None
Solución:- OpenSSL 1.0.1: actualizar a 1.0.1j.
- OpenSSL 1.0.0: actualizar a 1.0.0o.
- OpenSSL 0.9.8: actualizar a 0.9.8zc.
OpenSSL Security Advisory [15 Oct 2014]