Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidades en OpenSSL

Vulnerabilidades en OpenSSL

Fecha de publicación: 
04/12/2015
Importancia: 
3 - Media
Recursos afectados: 

Las siguientes versiones de OpenSSL se ven afectadas por una o varias de estas vulnerabilidades:

  • OpenSSL 1.0.2
  • OpenSSL 1.0.1
  • OpenSSL 1.0.0
  • OpenSSL 0.9.8
Descripción: 

Se han publicado varias vulnerabilidades en OpenSSL.

Solución: 
Actualizar a alguna de las siguientes versiones:
  • 0.9.8zh
  • 1.0.0t
  • 1.0.1q
  • 1.0.2e
Detalle: 

BN_mod_exp puede producir resultados incorrectos en x86_64

Aunque la cantidad de recursos necesarios puede ser elevada, es posible realizar ataques sobre DH para deducir información sobre la clave privada. Los algoritmos de curva elíptica no están afectados.

Se ha reservado el identificador CVE-2015-3193 para esta vulnerabilidad

Denegación de servicio en la verificación de certificados sin el parámetro PSS

Es posible causar una DoS con una referencia a puntero nulo si se presenta una firma ASN.1 utilizando RSA PSS sin el parámetro de generación de máscara.

Se ha reservado el identificador CVE-2015-3194 para esta vulnerabilidad

Memory leak en el atributo X509_ATTRIBUTE

Utilizando una estructura X509_ATTRIBUTE malformada, OpenSSL producirá una fuga de memoria. SSL/TLS no está afectado.

Se ha reservado el identificador CVE-2015-3195 para esta vulnerabilidad

Condición de carrera manejando PSK identity hints

Si se reciben PSK Identity hints en un cliente multihilo los valores se actualizan incorrectamente en la estructura SSL_CTX padre, creando una condición de carrera que podría derivar en una vulnerabilidad de double free.

Se ha reservado el identificador CVE-2015-3196 para esta vulnerabilidad