Varias vulnerabilidades en mbed TLS de ARM
Fecha de publicación:
20/04/2017
Importancia:
4 -
Alta
Recursos afectados:
- mbed TLS1.4 y superiores
- mbed TLS 2.4.0 y mbed 2.4.1
- versiones de mbed TLS anteriores a 1.3.19
- versiones de mbed TLS anteriores a 2.1.7
- versiones de mbed TLS anteriores a 2.4.2
Descripción:
Se han publicado tres vulnerabilidades (una de criticidad alta) en el software mbed TLS de ARM que podrían permitir a un atacante remoto la ejecución de código remoto o provocar la denegación del servicio.
Solución:
Actualizar a las siguientes versiones que solucionan estas vulnerabilidades:
- mbed TLS 1.3.19
- mbed TLS 2.1.7
- mbed TLS 2.4.2.
Detalle:
La vulnerabilidad, de criticidad alta, puede ser provocada por un certificado con una llave pública secp224k1 especialmente manipulada que haga que el servidor o el cliente intenten librerar un bloque de memoria de la pila. Según la plataforma sobre la que se ejecute la vulnerabilidad se puede provocar DoS o ejecución de código remoto.
Referencias:
Etiquetas: