lunes, 11 de mayo de 2009

Actualización de IBM AIX para OpenSSL

IBM ha publicado una actualización para OpenSSL incluido en AIX, para corregir tres vulnerabilidades que podrían ser explotadas por usuarios maliciosos para evitar restricciones de seguridad o provocar denegaciones de servicio.

El primero de los problemas corregidos reside en la función "CMS_verify" de OpenSSL debido a que no maneja correctamente las condiciones de error al procesar una estructura CMS no válida. Esto podría ser aprovechado por un atacante remoto para evadir restricciones de seguridad haciendo pasar por válido un certificado no válido.

También se ha corregido un error en la función "ASN1_STRING_print_ex" de OpenSSL que no filtra correctamente la longitud de codificación de las estructuras de datos "BMPString" y "UniversalString". Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio.

Por último, se ha corregido un error al procesar estructuras de datos del tipo ASN.1 que podría provocar un acceso a memoria no válida. Esto permitiría a un atacante remoto causar una denegación de servicio a través de datos que contengan la estructura del tipo ASN.1 especialmente manipulada.

Son vulnerables todas las versiones de OpenSSL anteriores a la 0.9.8.803 en AIX 6.1, AIX 5.3 y AIX 5.2. La actualización publicada por IBM puede descargarse desde:
https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=aixbp


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

AIX OpenSSL 0.9.8.803 with Security Patches
http://aix.software.ibm.com/aix/efixes/security/ssl_advisory.asc

No hay comentarios:

Publicar un comentario en la entrada