Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/11/2016
OpenSSL soluciona tres vulnerabilidades
OpenSSL ha anunciado una nueva versión destinada a corregir tres vulnerabilidades, una calificada de impacto alto, otra de importancia media y una de gravedad baja.Riesgo: Alto
La primera vulnerabilidad CVE-2016-7054, de gravedad alta, podría permitir la realización de ataques de denegación de servicio en conexiones que usen las suites de cifrado *-CHACHA20-POLY1305.
La siguiente vulnerabilidad, CVE-2016-7053, de criticidad media, puede provocar una desreferencia a puntero nulo y la consiguiente denegación de servicio.
Por último, CVE-2016-7055, de criticidad baja, provoca que un usuario remoto pueda enviar datos especialmente diseñados en ciertos casos para provocar errores en operaciones de clave pública en configuraciones en las que múltiples clientes remotos seleccionan el algoritmo EC afectado y donde el servidor de atacado comparte una clave privada entre múltiples clientes. También pueden ocurrir fallos de autenticación transitoria y de negociación de claves.
Sistemas Afectados: OpenSSL
Referencias:CVE-2016-7054, CVE-2016-7053, CVE-2016-7055
Solución:OpenSSL ha publicado la versión 1.1.0c disponible desde http://openssl.org/source/
También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año.
OpenSSL Security Advisory [10 Nov 2016]
Fuente: Hispasec una-al-dia