Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio/Vulnerabilidades/Actualización de la librería OpenSSL

Actualización de la librería OpenSSL

Por Deja un comentario

El proyecto OpenSSL ha publicado actualizaciones para las ramas 0.9.6 y
0.9.7 de su librería SSL, que solucionan dos ataques de denegación de
servicio (DoS).

La librería OpenSSL es un desarrollo “Open Source” que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como
para emplear sus componentes criptográficos individuales (funciones de
cifrado y “hash”, generadores de claves, generadores pseudoaleatorios,
etc).

Las versiones no actualizadas de OpenSSL son susceptibles a dos ataques
de denegación de servicio (DoS) que permiten que un atacante remoto
“mate” el proceso que esté usando la librería SSL. Las dos
vulnerabilidades son:

* Un atacante malicioso puede forzar una negociación SSL/TLS
especialmente manipulada para inducir un bug en la librería OpenSSL,
provocando el uso de un puntero “NULL”, ilegal.

* Cuando se usan autentificaciones Kerberos, un atacante remoto podría
forzar una negociación SSL/TLS especialmente manipulada para inducir un
bug en el código Kerberos de la librería, provocando la caída del
servicio.

La recomendación de Hispasec es actualizar a la versión 0.9.6m o 0.9.7d
de la librería OpenSSL.

Jesús Cea Avión
jcea@hispasec.com

Más información:

OpenSSL: The Open Source toolkit for SSL/TLS
http://www.openssl.org/

OpenSSL Security Advisory [17 March 2004]
http://www.openssl.org/news/secadv_20040317.txt

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.