Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en OpenSSL

Múltiples vulnerabilidades en OpenSSL

Fecha de publicación: 
12/06/2015
Importancia: 
3 - Media
Recursos afectados: 

Las versiones afectadas por una o más de las vulnerabilidades son:

  • OpenSSL v1.0.2, v1.0.1, v1.0.0 y v0.9.8.
Descripción: 

Se han liberado actualizaciones para OpenSSL que corrigen varias vulnerabilidades de denegación de servicio (DoS), corrupción de memoria y de susceptibilidad a ataques man in the middle (Logjam).

Solución: 

OpenSSL recomienda diversas actualizaciones dependiendo de la vulnerabilidad y la versión afectada. Para escoger la actualización necesaria consultar el enlace especificado en la sección "Referencias"

Detalle: 

Las vulnerabilidades corregidas se detallan a continuación:

  • Fallo en la negociación de claves Diffie-Hellman (DH) implementado en TLS (LogJam), lo que provoca la exposición a ataques man in the middle. Se ha asignado el identificador CVE-2015-4000.
  • Vulnerabilidad en el módulo de criptografía de curva elíptica. Al procesar parámetros ECParameters malformados puede producirse un bucle infinito que derive en la denegación de servicio. Se ha asignado el identificador CVE-2015-1788.
  • Denegación de servicio provocado por la lectura fuera de límite en la utilidad X509_cmp_time. Se ha asignado el identificador CVE-2015-1789.
  • Vulnerabilidad al procesar estructuras PKCS#7 que puede provocar un fallo por referencia a puntero nulo al parsear estructuras malformadas. Se ha asignado el identificador CVE-2015-1790.
  • Denegación de servicio en el código CMS cuando se verifican datos firmados con una función hash desconocida. Se ha asignado el identificador CVE-2015-1792.
  • Vulnerabilidad de condición de carrera en el procesado de tickets. Se ha reservado el identificador CVE-2015-1791.
  • Fallo de corrupción de memoria en DTLS. Esta vulnerabilidad no afecta a la versión actual de OpenSSL, solo versiones anteriores a 1.0.1 y anteriores. Se ha reservado el identificador CVE-2014-8176.