• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Nuevas versiones de OpenSSL solucionan cuatro vulnerabilidades

Nuevas versiones de OpenSSL solucionan cuatro vulnerabilidades

27 enero, 2017 Por Hispasec Deja un comentario

El proyecto OpenSSL ha anunciadola publicación de nuevas versiones de OpenSSLdestinadas a corregir cuatro vulnerabilidades, tres calificadas de impacto medio y otra de importancia baja.

OpenSSL es un desarrollo «Open Source» que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y «hash«, generadores de claves, generadores pseudoaleatorios, etc).

El primer problema, con CVE-2017-3731, afecta a clientes o servidores SSL/TLS en sistemas 32bits cuando se usa un cifrado específico, entonces un paquete truncado puede provocar una lectura fuera de límites en ese servidor o cliente. Para OpenSSL 1.1.0 el fallo afecta cuando se usa CHACHA20/POLY1305; para OpenSSL 1.0.2 el problema se puede explotar con RC4-MD5.
Otra vulnerabilidad de gravedad media, con CVE-2017-3730, afecta a OpenSSL 1.1.0 si un servidor malicioso suministra parámetros incorrectos para un intercambio de claves DHE o ECDHE, puede provocar una desreferencia de puntero nulo en el cliente con la consiguiente caída. Un usuario malicioso podría provocar condiciones de denegación de servicio. 
Otra vulnerabilidad de gravedad media, con CVE-2017-3732, reside en un error de propagación de acarreo en BN_mod_exp() puede permitir obtener determinada información sobre claves privadas en determinadas circunstancias. Se ven afectados sistemas configurados con parámetros DH persistentes y que compartan claves privadas entre múltiples clientes.
Por último, de gravedad baja y con CVE-2016-7055, las multiplicaciones Montgomery pueden producir resultados incorrectos. El problema fue corregido anteriormente en la versión 1.1.0c, por lo que solo afecta a versiones OpenSSL 1.0.2.
OpenSSL ha publicado las versiones 1.1.0d y 1.0.2k disponibles desde
http://openssl.org/source/
También se recuerda que las versiones OpenSSL 1.0.1 finalizaron su soporte a finales del año pasado.
Más información:
OpenSSL Security Advisory [26 Jan 2017]
https://www.openssl.org/news/secadv/20170126.txt
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades Etiquetado como: OpenSSL

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • La estafa del “Servicio de Verificación DHL”

Entradas recientes

  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Microsoft Defender de Windows ya está disponible para Android e iOS
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec