Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidades en OpenSSL

Vulnerabilidades en OpenSSL

Fecha de publicación: 
01/02/2016
Importancia: 
4 - Alta
Recursos afectados: 

OpenSSL versiones 1.0.2 y 1.0.1

Descripción: 

Se han publicado nuevas vulnerabilidades en OpenSSL, una de ellas permite fuga de información.

Solución: 
  • OpenSSL 1.0.2: Actualizar a 1.0.2f
  • OpenSSL 1.0.1: Actualizar a 1.0.1r
Detalle: 

Posible obtención del exponente DH del servidor

Lo primos generados con archivos de parámetros X9.42 pueden ser inseguros. Si la aplicación utiliza DH configurado con primos inseguros, un atacante podría obtener el exponente DH privado.

Si la opción SSL_OP_SINGLE_DH_USE para DH efímero (DHE) no esta activada (no lo está por defecto), el servidor reutiliza el mismo exponente privado para DH durante todo el tiempo de vida del proceso del servidor OpenSSL.

Se ha asignado el identificador CVE-2016-0701 a esta vulnerabilidad.

Los cifrados deshabilitados no son bloqueados con SSLv2

Un cliente puede negociar cifrados SSLv2 que han sido deshabilitados en el servidor y completar handshakes SSLv2 aunque esos cifrados hayan sido deshabilitados si el protocolo SSLv2 no ha sido también deshabilitado con SSL_OP_SSLv2

Se ha asignado el identificador CVE-2015-3197 a esta vulnerabilidad.