Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidades en OpenSSL

Vulnerabilidades en OpenSSL

Fecha de publicación: 
04/05/2016
Importancia: 
5 - Crítica
Recursos afectados: 
  • OpenSSL 1.0.1
  • OpenSSL 1.0.2
Descripción: 

Se ha publicado una actualización de OpenSSL que corrige varias vulnerabilidades.

Solución: 

Se recomienda actualizar a las versiones 1.0.1t o 1.0.2h de OpenSSL

Detalle: 

Corrupción de memoria en el encoder ASN.1

Si una aplicación deserializa estructuras ASN.1 no confiables con un campo ANY y vuelve a serializarlas, un atacante podría conseguir una escritura fuera de límites.

Se ha reservado el identificador CVE-2016-2108 para esta vulnerabilidad.

Padding oracle en la comprobación MAC AES-NI CBC

Es posible realizar un ataque padding oracle para descifrar el tráfico cuando la conexión utiliza cifrado AES CBC y el servidor soporta AES-NI.

Se ha reservado el identificador CVE-2016-2107 para esta vulnerabilidad.

Desbordamientos en EVP_EncodeUpdate

La función EVP_EncodeUpdate() utilizada para codificar Base64 puede desencadenar una corrupción del heap cuando se le proporciona una entrada demasiado grande.

Se ha reservado el identificador CVE-2016-2105 para esta vulnerabilidad.

Desbordamiento en EVP_EncryptUpdate

La función EVP_EncryptUpdate() puede desencadenar una corrupción del heap cuando se le proporciona una entrada demasiado grande después de una llamada previa a la misma con un bloque parcial.

Se ha reservado el identificador CVE-2016-2106 para esta vulnerabilidad.

Reserva de memoria excesiva en ASN.1 BIO

Cuando los datos ASN.1 son leídos de una BIO utilizando funciones como d2i_CMS_bio(), una codificación inválida puede consumir la memoria del sistema.

Se ha reservado el identificador CVE-2016-2109 para esta vulnerabilidad.

Sobrelectura EBCDIC

Las cadenas ASN1 de más de 1024 bytes pueden causar una sobrelectura en aplicaciones que utilizan X509_NAME_oneline() en sistemas EBCDIC, filtrando información de la pila.

Se ha reservado el identificador CVE-2016-2176 para esta vulnerabilidad.