Varias vulnerabilidades en mbed TLS de ARM

Fecha de publicación:

20/04/2017

Importancia:

4 - Alta

Recursos afectados:

mbed TLS1.4 y superiores
mbed TLS 2.4.0 y mbed 2.4.1
versiones de mbed TLS anteriores a 1.3.19
versiones de mbed TLS anteriores a 2.1.7
versiones de mbed TLS anteriores a 2.4.2

Descripción:

Se han publicado tres vulnerabilidades (una de criticidad alta) en el software mbed TLS de ARM que podrían permitir a un atacante remoto la ejecución de código remoto o provocar la denegación del servicio.

Solución:

Actualizar a las siguientes versiones que solucionan estas vulnerabilidades:

mbed TLS 1.3.19
mbed TLS 2.1.7
mbed TLS 2.4.2.

Detalle:

La vulnerabilidad, de criticidad alta, puede ser provocada por un certificado con una llave pública secp224k1 especialmente manipulada que haga que el servidor o el cliente intenten librerar un bloque de memoria de la pila. Según la plataforma sobre la que se ejecute la vulnerabilidad se puede provocar DoS o ejecución de código remoto.

Referencias:

mbed TLS Security Advisory 2017-01

ARM mbed TLS x509 ECDSA Invalid Public Key Remote Code Execution Vulnerability

Etiquetas:

Vulnerabilidad

Accesos corporativos

Varias vulnerabilidades en mbed TLS de ARM

Actualización de seguridad de Joomla! 3.9.25

Múltiples vulnerabilidades en GRUB2

Actualización fuera de ciclo de Microsoft Exchange Server

Múltiples vulnerabilidades en productos de Cisco

Múltiples vulnerabilidades en productos VMware