Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

OpenSSL soluciona 13 vulnerabilidades

  • 0 Respuestas
  • 1113 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Mayk0

  • *
  • Underc0der
  • Mensajes: 126
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Nogal Sec
    • Email
  • Skype: maykozapata
« en: Marzo 24, 2015, 01:54:09 am »
Esta Noticia fué lanzada el 20 de Marzo, pero como nadie la publicó, lo hago ahora..


El proyecto OpenSSL ha publicado un boletín en el que corrige 13 nuevas vulnerabilidades, dos de ellas calificadas de impacto bajo y otras 10 como moderado, pero una está valorada como de gravedad alta. Aunque no todas las versiones de OpenSSL están afectadas por todas las vulnerabilidades.


La vulnerabilidad considerada de gravedad alta (CVE-2015-0291) puede permitir denegaciones de servicio si un cliente se conecta a un servidor de OpenSSL 1.0.2 y renegocia con un algoritmo de firma digital inválido, lo que provoca una referencia a un puntero nulo.

Por otra parte, también se ha recalificado la gravedad de la vulnerabilidad FREAK, que previamente había sido clasificada como de gravedad baja, ahora pasa a considerarse como de gravedad alta. Esto es debido a que se ha comprobado que es mucho más habitual de lo que inicialmente se pensaba.

Con gravedad moderada se han anunciado vulnerabilidades en la funcionalidad "multiblock", en las rutinas de verificación de firmas si se usa ASN.1 con algoritmo RSA PSS y parámetros inválidos, al reutilizar estructuras en el tratamiento ASN.1, en el tratamiento de PKCS#7, en el tratamiento de datos codificados en base64, al procesar mensajes SSLv2 CLIENT-MASTER-KEY específicamente creados y en las funciones "DTLSv1_listen" y "ASN1_TYPE_cmp".

OpenSSL ha publicado las versiones 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf disponibles desde
http://openssl.org/source/
También se recuerda por parte de OpenSSL que las versiones 1.0.0 y 0.9.8 acaban su soporte a finales de año.

Más información:

OpenSSL Security Advisory [19 Mar 2015]
http://openssl.org/news/secadv_20150319.txt

FREAK, un nuevo ataque a SSL/TLS
http://unaaldia.hispasec.com/2015/03/freak-un-nuevo-ataque-ssltls.html

Fuente: unaaldia.hispasec
« Última modificación: Marzo 24, 2015, 07:33:54 am por Gabriela »

 

¿Te gustó el post? COMPARTILO!



Ahora que Intel parchea Spectre y Meltdown, aparecen nuevas vulnerabilidades

Iniciado por graphixx

Respuestas: 0
Vistas: 973
Último mensaje Marzo 05, 2018, 07:08:04 pm
por graphixx
VMware corrige vulnerabilidades críticas en ESXi, Workstation y Fusion

Iniciado por AXCESS

Respuestas: 0
Vistas: 570
Último mensaje Marzo 29, 2019, 05:36:43 pm
por AXCESS
Google hace públicas varias vulnerabilidades DNS y DHCP en Dnsmasq

Iniciado por Andrey

Respuestas: 0
Vistas: 765
Último mensaje Octubre 09, 2017, 11:19:38 pm
por Andrey
Europa pagará por encontrar vulnerabilidades en 15 programas de código abierto

Iniciado por graphixx

Respuestas: 0
Vistas: 434
Último mensaje Enero 01, 2019, 10:20:03 pm
por graphixx
Hackers descubren vulnerabilidades en el Automóvil Telsa Model S

Iniciado por Mayk0

Respuestas: 0
Vistas: 869
Último mensaje Agosto 10, 2015, 02:49:20 pm
por Mayk0