Inicio / Alerta Temprana / Avisos Seguridad / Actualizaciones de seguridad para OpenSSL

Actualizaciones de seguridad para OpenSSL

Fecha de publicación: 
16/10/2014
Importancia: 
4 - Alta
Recursos afectados: 

OpenSSL, versiones 1.0.1, 1.0.0 y 0.9.8.

Descripción: 

OpenSSL ha publicado actualizaciones que resuelven varias vulnerabilidades.

Solución: 
  • OpenSSL 1.0.1: actualizar a 1.0.1j.
  • OpenSSL 1.0.0: actualizar a 1.0.0o.
  • OpenSSL 0.9.8: actualizar a 0.9.8zc.
Detalle: 

Fuga de memoria SRTP

Una debilidad en la extension DTLS SRTP permite a un atacante causar una fuga de memoria enviando un mensaje de handshake modificado. Se ha reservado el identificador CVE-2014-3513 para esta vulnerabilidad.

 

Fuga de memoria con ticket de sesión

 

Cuando el servidor recibe un ticket de sesión, este verifica su integridad, y si esta verificación falla se produce una fuga de memoria. Es posible causar una denegación de servicio enviando múltiples tickets inválidos. Se ha reservado el identificador CVE-2014-3567 para esta vulnerabilidad.

 

SSL 3.0 Fallback protection

 

Se añade soporte para TLS_FALLBACK_SCSV.

 

La opción no-ssl3 es incompleta

 

Cuando se compila OpenSSL con no-ssl3, los servidores podrían aceptar y completar un handshake SSL 3.0. Se ha reservado el identificador CVE-2014-3568 para esta vulnerabilidad.

Etiquetas: