Varias vulnerabilidades en mbed TLS de ARM

Fecha de publicación:

20/04/2017

Importancia:

4 - Alta

Recursos afectados:

mbed TLS1.4 y superiores
mbed TLS 2.4.0 y mbed 2.4.1
versiones de mbed TLS anteriores a 1.3.19
versiones de mbed TLS anteriores a 2.1.7
versiones de mbed TLS anteriores a 2.4.2

Descripción:

Se han publicado tres vulnerabilidades (una de criticidad alta) en el software mbed TLS de ARM que podrían permitir a un atacante remoto la ejecución de código remoto o provocar la denegación del servicio.

Solución:

Actualizar a las siguientes versiones que solucionan estas vulnerabilidades:

mbed TLS 1.3.19
mbed TLS 2.1.7
mbed TLS 2.4.2.

Detalle:

La vulnerabilidad, de criticidad alta, puede ser provocada por un certificado con una llave pública secp224k1 especialmente manipulada que haga que el servidor o el cliente intenten librerar un bloque de memoria de la pila. Según la plataforma sobre la que se ejecute la vulnerabilidad se puede provocar DoS o ejecución de código remoto.

Referencias:

mbed TLS Security Advisory 2017-01

ARM mbed TLS x509 ECDSA Invalid Public Key Remote Code Execution Vulnerability

Etiquetas:

Vulnerabilidad

Accesos corporativos

Varias vulnerabilidades en mbed TLS de ARM

Fallos de Cross Site Scripting (XSS) encontrados en el software Tiki-Wiki CMS

Múltiples vulnerabilidades en Spectrum Protect Plus de IBM

Múltiples vulnerabilidades en Vertiv Avocent UMG-4000

Escalada de privilegios en Apache Traffic Server

Múltiples vulnerabilidades en productos F5