viernes, 3 de enero de 2014

Vulnerabilidades en OpenSSL

Se han anunciado dos vulnerabilidades en OpenSSL, que podrían permitir a un atacante remoto construir ataques de hombre en el medio o de denegación de servicio.

El primero de los problemas (con CVE-2013-6450) reside en la implementación del protocolo DTLS ya que no mantiene adecuadamente las estructuras de datos para los contextos de cifrado y resumen. Un atacante remoto podría emplear este problema para contruir ataques de hombre en el medio.

Por otra parte, con CVE-2013-6449, la función ssl_get_algorithm2() en 'ssl/s3_lib.c' usa un número de versión incorrecto. Lo que podría permitir a un usuario remoto provocar una caída del servicio mediante el envío de datos manipulados (usando TLS 1.2).

Se han publicado actualizaciones en forma de código en:

Más información:

Fix DTLS retransmission from previous session

Use version in SSL_METHOD not SSL structure


Antonio Ropero
Twitter: @aropero


1 comentario:

  1. Muchas gracias.
    Se ha publicado una versión de Openssl (1.0.1.f) que resuelve estas dos vulnerabilidades.
    http://www.openssl.org/news/vulnerabilities.html

    saludos!

    ResponderEliminar