Inicio / Alerta Temprana / Avisos Seguridad / Actualización de OpenSSL

Actualización de OpenSSL

Fecha de publicación: 
20/04/2012
Importancia: 
4 - Alta
Recursos afectados: 

Aplicaciones que utilicen la librería OpenSSL.

Descripción: 
Las nuevas versiones, la 1.0.1a, 1.0.0i y 0.9.8w, solucionan una vulnerabilidad en la lectura de datos en formato DER.
Solución: 

Instalar las versiones de OpenSSL 1.0.1a, 1.0.0i or 0.9.8w. Las distintas distribuciones publicarán, mediante sus mecanismos de actualización propios, esta versión. También se puede obtener el código fuente.

Detalle: 

Las actualizaciones solucionan una vulnerabilidad en la función asn1_d2i_read_bio que puede provocar la corrupción de la memoria al leer datos codificados de modo malicioso. Indirectamente afecta a las funciones del tipo d2i_*_bio o d2i_*_fp.

OpenSSL es utilizado en muchas otras aplicaciones, a continuación se detalla como se ven afectadas:

  • OpenSSH: esta vulnerabilidad no afecta a la funcionalidad SSL/TLS por lo que no afecta a OpenSSH y tampoco a aplicaciones que utilizan funciones ASN1 basadas en memoria (d2i_X509, d2i_PKCS12, etc.).
  • Apache: las aplicaciones que utilizan rutinas PEM no se ven afectadas por lo que si Apache utiliza el formato PEM de certificados y no parsea datos no confiables el riesgo es mínimo.
  • Comandos de terminal OpenSSL: se ve afectado si se utilizan datos codificados en el formato DER.

Actualización 24/04/2012: la actualización 0.9.8v publicada para resolver esta vulnerabilidad no era completa, por lo que se ha publicado la 0.9.8w.

Impacto:

Corrupción de memoria y, como consecuencia, caída de la aplicación u otros efectos.