Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidades en OpenSSL

Vulnerabilidades en OpenSSL

Fecha de publicación: 
26/09/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • OpenSSL 1.1.0
  • OpenSSL 1.0.2
  • OpenSSL 1.0.1: Las versiones anteriores a la 1.0.1g que explícitamente habiliten OCSP y las posteriores a 1.0.1g.   
Descripción: 

OpenSSL ha publicado un boletín en el que se corrigen varias vulnerabilidades, una de ellas de alta criticidad. 

Solución: 
  • Para los usuarios con OpenSSL 1.1.0: Actualizar a 1.1.0a
  • Para los usuarios con OpenSSL 1.0.2: Actualizar a 1.0.2i
  • Para los usuarios con OpenSSL 1.0.1: Actualizar a 1.0.1u
Detalle: 

La vulnerabilidad de criticidad alta que se soluciona en la actualización es la siguiente:

  • Crecimiento de la memoria fuera de límites por extensión de OCSP Status Request: un atacante malintencionado puede enviar una extensión de OCSP Status Request excesivamente larga, lo que provocaría un crecimiento de la memoria fuera de límites en el servidor lo que, a la larga, podría provocar una denegación de servicio. Están afectados los servidores con la configuración por defecto, incluso aquellos que no soportan OCSP.