El proyecto OpenSSL ha publicado actualizaciones para las ramas 0.9.6 y
0.9.7 de su librería SSL, que solucionan dos ataques de denegación de
servicio (DoS).
La librería OpenSSL es un desarrollo “Open Source” que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como
para emplear sus componentes criptográficos individuales (funciones de
cifrado y “hash”, generadores de claves, generadores pseudoaleatorios,
etc).
Las versiones no actualizadas de OpenSSL son susceptibles a dos ataques
de denegación de servicio (DoS) que permiten que un atacante remoto
“mate” el proceso que esté usando la librería SSL. Las dos
vulnerabilidades son:
* Un atacante malicioso puede forzar una negociación SSL/TLS
especialmente manipulada para inducir un bug en la librería OpenSSL,
provocando el uso de un puntero “NULL”, ilegal.
* Cuando se usan autentificaciones Kerberos, un atacante remoto podría
forzar una negociación SSL/TLS especialmente manipulada para inducir un
bug en el código Kerberos de la librería, provocando la caída del
servicio.
La recomendación de Hispasec es actualizar a la versión 0.9.6m o 0.9.7d
de la librería OpenSSL.
jcea@hispasec.com
Más información:
OpenSSL: The Open Source toolkit for SSL/TLS
http://www.openssl.org/
OpenSSL Security Advisory [17 March 2004]
http://www.openssl.org/news/secadv_20040317.txt
Deja un comentario