Actualización crítica de OpenSSL 1.1.0a
El investigador de seguridad Shi Lei, de Qihoo 360 de China, ha encontrado una vulnerabilidad crítica de denegación de servicio en OpenSSL en la forma en que implementa OCSP y puede ser explotada si se utiliza la configuración por defecto e incluso si OpenSSL no soporta OCSP .
Esta vulnerabilidad ha sido catalogada como la más crítica de los últimos 14 años, su identificador es CVE-2016-6304 y puede ser explotada remotamente. La vulnerabilidad consiste en que se pueden enviar grandes paquetes "OCSP Status Request" a un determinado servidor durante la negociación de la conexión, esto causaría un consumo tan elevado de memoria que podría provocar una denegación de servicio en el servidor.
Es necesario actualizar la librería a la última versión OpenSSL 1.1.0a y, si no se puede actualizar, es posible mitigar este fallo con la opción "no-ocsp" o directamente filtrarlo en el IDS/IPS de la organización.
Además de este fallo, OpenSSL 1.1.0a soluciona otras 14 vulnerabilidades entre las que se encuentran las de SWEET32, publicada el mes pasado y que afecta a los protocolos Triple-DES (3DES) y Blowfish.
Un detalle muy importante es que la versión OpenSSL 1.0.1 dejará de tener soporte a finales de este año, por lo que es recomendable migrar a la versión de OpenSSL 1.0.2 e incluso a la 1.1.0.
Actualización 26/09/2016: ya se ha publicado la versión 1.1.0b
Fuente: ThreatPost
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!