lunes, 15 de noviembre de 2010

Vulnerabilidad de denegación de servicio en OpenSSL

Se ha públicado una vulnerabilidad en OpenSSL, reportada por Rob Hulswit, a través de la cual un usuario remoto podría causar una denegación de servicio y potencialmente ejecutar código arbitrario mediante el envío de datos especialmente manipulados.

OpenSSL es un proyecto para desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3) así como de los protocolos de seguridad en la capa de transporte (TLS v1)así como de una librería criptográfica de propósito general.

Todas las versiones de OpenSSL que soporten extensiones TLS se ven afectadas por esta vulnerabilidad incluyendo OpenSSL 0.9.8f a 0.9.8o, 1.0.0 y 1.0.0a.

Cualquier servidor TLS basado en OpenSSL es vulnerable si es multihilo y emplea el mecanismo de cacheo interno de OpenSSL. Los servidores que sean multiproceso y/o tengan desactivado el cacheo interno de sesión no se ven afectados.

En particular, los servidores HTTP Apache y Stunnel no están afectados.

Las recomendaciones dadas por el fabricante son las siguientes:

Para OpenSSL entre las versiones 0.9.8f a 0.9.8o deberían actualizarse a la versión 0.9.8p.
Para OpenSSL 1.0.0 y 1.0.0a deberían actualizarse a la versión 1.0.0b.

En caso de que la actualización inmediata no sea posible, en el enlace propuesto (ver más información) se puede encontrar el parche a aplicar directamente sobre el código.

Esta vulnerabilidad tiene asignado el siguiente CVE: CVE-2010-3864


Borja Luaces
bluaces@hispasec.com


Más información:

Fuente:
http://www.openssl.org/news/secadv_20101116.txt

CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3864

SSL:
http://es.wikipedia.org/wiki/Transport_Layer_Security

OpenSSL:
http://www.openssl.org/

No hay comentarios:

Publicar un comentario en la entrada