Inicio / Alerta Temprana / Avisos Seguridad / Multiples fabricantes afectados por un fallo de OpenSSL

Multiples fabricantes afectados por un fallo de OpenSSL

Fecha de publicación: 
09/04/2014
Importancia: 
5 - Crítica
Recursos afectados: 
  • CISCO
  • Los productos afectados de Cisco son los siguiente:

    • Cisco AnyConnect Secure Mobility Client para iOS
    • Cisco Desktop Collaboration Experience DX650
    • Cisco Unified 7900, 8900, 9900 series IP Phones
    • Cisco TelePresence Video Communication Server (VCS)

    Es posible que mas productos estén afectados por esta vulnerabilidad, consulte al fabricante para mas información

  • JUNIPER
  • Los productos afectados de JUNIPER son los siguiente:

    • Junos OS 13.3 y posteriores
    • Cliente Odyssey 5.6r5 y posteriores
    • SSL VPN (IVEOS) 7.4r1 y posteriores, y SSL VPN (IVEOS) 8.0r1 y posteriores
    • UAC 4.4r1 y posteriores, y 5.0r1 UAC y posteriores
    • Junos Pulse (Escritorio) 5.0r1 y posteriores, y Junos Pulse (Escritorio) 4.0r5 y posteriores
    • Network Connect (sólo Windows) versión 7.4R5 a 7.4R9.1 y 8.0R1 a 8.0R3.1. (Este cliente sólo se ve afectada cuando se utiliza en modo FIPS.)
    • Junos Pulse (móvil) en la versión de Android 4.2r1 y posteriores.
    • Junos Pulse (Móvil) en iOS versión 4.2r1 y posteriores. (Este cliente sólo se ve afectada cuando se utiliza en modo FIPS.)

    Es posible que mas productos estén afectados por esta vulnerabilidad, consulte al fabricante para mas información.

Descripción: 

Diversos productos de distintos fabricantes como Cisco y Juniper incorporan versiones de OpenSSL afectadas por una vulnerabilidad (CVE-2014-0160) que podría permitir a un intruso remoto no autenticado obtener información de la memoria.

Solución: 
  • CISCO
  • Cisco lanzará actualizaciones de software gratuitas para solucionar esta vulnerabilidad. Para mas información contacte son el servicio de soporte o visite la web.

  • JUNIPER
  • Juniper esta trabajando en actualizaciones para sus productos que solucionen esta vulnerabilidad. Consulte al fabricante para ver la disponibilidad de las mismas.

Detalle: 

Las vulnerabilidades detectadas derivan de un fallo encontrado en las versiones de OpenSSL 1.0.1 hasta 1.0.1f, las cuales tienen un defecto de implementación en la funcionalidad heartbeat TLS/DTLS (RFC6520).

Este problema de implementación puede permitir a un atacante remoto no autenticado recuperar contenidos privados de memoria de aplicaciones que hagan uso de la librería OpenSSL afectada.

Mas información sobre esta vulnerabilidad en el aviso Grave vulnerabilidad en la funcionalidad HEARTBEAT de OpenSSL.