Se ha publicado una nueva versión de OpenSSL, la 0.9.6g, que soluciona
numerosos problemas, muchos de ellos de seguridad.
La librería OpenSSL es un desarrollo «Open Source» que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para
emplear sus componentes criptográficos individuales (funciones de
cifrado y «hash», generadores de claves, generadores pseudoaleatorios,
etc).
La versión 0.9.6e de OpenSSL soluciona los siguientes problemas de
seguridad:
* Desbordamiento de búfer en la negociación SSLv2, en modo servidor.
* Desbordamiento de búfer en la negociación SSLv3, en modo cliente.
* Diversos errores en la implementación de ASN.1.
* Diversos desbordamientos de búfer, especialmente en entornos Kerberos.
La recomendación es actualizar OpenSSL a 0.9.6e o superior. La versión
actual de OpenSSL es la 0.9.6g. Debe reiniciarse cualquier cliente o
servidor que emplee la librería. Los procesos enlazados de forma
estática con ella deben ser recompilados de nuevo.
jcea@hispasec.com
Más información:
OpenSSL
http://www.openssl.org/
OpenSSL Security Advisory [30 July 2002]
http://www.openssl.org/news/secadv_20020730.txt
CERT® Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL
http://www.cert.org/advisories/CA-2002-23.html
Security vulnerabilities in OpenSSL
http://www.linuxandmain.com/modules.php?name=News&file=article&sid=161
Debian Security Advisory
DSA-136-1 openssl — multiple remote exploits
http://www.debian.org/security/2002/dsa-136
Múltiples Vulnerabilidades en OpenSSL
http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-023.html
