19 mar. 2015

Actualización crítica de OpenSSL (Parchea! #FREAK)

Hace dos días, un post de Matt Caswell de OpenSSL anunciaba la publicación de una serie de actualizaciones críticas. Hoy se ha publicado el OpenSSL Security Advisory [19 Mar 2015] con las actualizaciones OpenSSL 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf.

Estas son las vulnerabilidades encontradas:
  • OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291): ataque DoS contra el servidor. La severidad es "alta", este problema afecta a la versión de OpenSSL 1.0.2 y debe actualizarse a OpenSSL 1.0.2a
  • Reclasificación de la vulnerabilidad FREAK: este problema de seguridad fue anunciado previamente por el proyecto OpenSSL y clasificado como de severidad "baja" y ahora ha cambiado a "alta". Originalmente se creía que la existencia de claves EXPORT en RSA era raro pero estudios reciente han demostrado que esta ciphersuite es muy común.
    Este problema afecta a las versiones de OpenSSL: 1.0.1, 1.0.0 y 0.9.8.
    Los usuarios deberían actualizar a 1.0.1k, 1.0.0p o 0.9.8zd.
  • Otras actualizaciones de severidad "moderada".
Según el documento publicado por OpenSSL, urge la actualización.

Cristian de la Redacción de Segu-Info

    0 comentarios:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info
    Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

    Gracias por comentar!