Nuevas vulnerabilidades en OpenSSL

Desde que salió a la luz la vulnerabilidad conocida como heartbleed, OpenSSL parece que está bajo la lupa y nuevamente se dan a conocer más problemas que afectan a la popular librería de cifrado. En esta ocasión el proyecto OpenSSL acaba de publicar un boletín advirtiendo de la corrección de nueve nuevas vulnerabilidades, que afectan a las tres principales ramas del proyecto, aunque no son tan graves como las últimas anunciadas.

El primero de los problemas (CVE-2014-3508) reside en OBJ_obj2txt que puede provocar una fuga de información con determinadas funciones de impresión. Un segundo problema (CVE-2014-5139) afecta a clientes OpenSSL 1.0.1 SSL/TLS y podría permitir a un servidor malicioso provocar denegaciones de servicio por una dereferencia de puntero nulo. También se presenta una condición de carrera en ssl_parse_serverhello_tlsext (CVE-2014-3509).

Otras vulnerabilidades de denegación de servicio se deben a una doble liberación de memoria al procesar paquetes DTLS (CVE-2014-3505), por un consumo de grandes cantidades de memoria mientras se procesan mensajes de negociación DTLS(CVE-2014-3506), por una fuga de memoria por el tratamiento de paquetes DTLS con fragmentos de tamaño 0 (CVE-2014-3507) y por una dereferencia de puntero nulo en clientes OpenSSL DTLS con suites de cifrado EC(DH) anónimo (CVE-2014-3510).

Otro problema, se da cuando el mensaje ClientHello está muy fragmentado, lo que puede obligar a servidores OpenSSL 1.0.1 SSL/TLS a negociar TLS 1.0 en vez de versiones del protocolo más modernas (CVE-2014-3511).

Por último, un cliente o servidor malicioso podría enviar parámetros SRP no válidos y sobreescribir un búfer interno. Solo se ven afectadas las aplicaciones configuradas explícitamente para SRP.

Los problemas afectan a las versiones OpenSSL 0.9.8, 1.0.0 y 1.0.1. Se han publicado las versiones OpenSLL 0.9.8zb, 1.0.0n y 1.0.1i que solucionan los problemas descritos.

Fuente: Hispasec

Suscríbete a nuestro Boletín