11 nov. 2016

OpenSSL soluciona tres vulnerabilidades

El proyecto OpenSSL ha anunciado la publicación de una nueva versión de OpenSSL 1.1.0c destinada a corregir tres vulnerabilidades, una calificada de impacto alto, otra de importancia media y una de gravedad baja.

El primer problema reside en una vulnerabilidad (CVE-2016-7054), de gravedad alta, que podría permitir la realización de ataques de denegación de servicio en conexiones que usen las suites de cifrado *-CHACHA20-POLY1305.

Por otra parte, de gravedad media, con CVE-2016-7053, un problema en el tratamiento de estructuras CMS inválidas puede provocar una desreferencia a puntero nulo y la consiguiente denegación de servicio.

Por último, de gravedad baja (CVE-2016-7055), un error en el procedimiento de multiplicación Broadwell-specific Montgomery en cierta longitud de datos. Un usuario remoto puede enviar datos especialmente diseñados en ciertos casos para provocar errores en operaciones de clave pública en configuraciones en las que múltiples clientes remotos seleccionan el algoritmo EC afectado y donde el servidor de atacado comparte una clave privada entre múltiples clientes. También pueden ocurrir fallos de autenticación transitoria y de negociación de claves.

También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año.

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!