Varias vulnerabilidades en mbed TLS de ARM

Fecha de publicación:

20/04/2017

Importancia:

4 - Alta

Recursos afectados:

mbed TLS1.4 y superiores
mbed TLS 2.4.0 y mbed 2.4.1
versiones de mbed TLS anteriores a 1.3.19
versiones de mbed TLS anteriores a 2.1.7
versiones de mbed TLS anteriores a 2.4.2

Descripción:

Se han publicado tres vulnerabilidades (una de criticidad alta) en el software mbed TLS de ARM que podrían permitir a un atacante remoto la ejecución de código remoto o provocar la denegación del servicio.

Solución:

Actualizar a las siguientes versiones que solucionan estas vulnerabilidades:

mbed TLS 1.3.19
mbed TLS 2.1.7
mbed TLS 2.4.2.

Detalle:

La vulnerabilidad, de criticidad alta, puede ser provocada por un certificado con una llave pública secp224k1 especialmente manipulada que haga que el servidor o el cliente intenten librerar un bloque de memoria de la pila. Según la plataforma sobre la que se ejecute la vulnerabilidad se puede provocar DoS o ejecución de código remoto.

Referencias:

mbed TLS Security Advisory 2017-01

ARM mbed TLS x509 ECDSA Invalid Public Key Remote Code Execution Vulnerability

Etiquetas:

Vulnerabilidad

Accesos corporativos

Varias vulnerabilidades en mbed TLS de ARM

Múltiples vulnerabilidades en el core de Drupal

Actualización de seguridad de SAP de septiembre de 2021

Control de acceso incorrecto en el controlador ShareFile de Citrix

Vulnerabilidad de Cross Site Scripting en TIBCO WebFOCUS

Actualizaciones de seguridad de Microsoft de septiembre de 2021