Home / Node / Vulnerabilidad 0-byte record padding oracle en OpenSSL

Vulnerabilidad 0-byte record padding oracle en OpenSSL

Publication date: 
02/28/2019
Importance: 
3 - Media
Affected resources: 
  • OpenSSL 1.0.2
Description: 

OpenSSL ha publicado una vulnerabilidad de tipo 0-byte record padding oracle que podría permitir a un atacante remoto descifrar datos y obtener información confidencial.

Solution: 
  • Actualizar a las versiones 1.0.2r o 1.1.1

Actualmente solo reciben actualizaciones de seguridad OpenSSL las versiones 1.0.2 y 1.1.0. Para la versión 1.0.2, el soporte finalizará el 31 de diciembre de 2019 y para la versión 1.1.0, el 11 septiembre de 2019. Los usuarios de estas versiones deben actualizar a OpenSSL 1.1.1

Detail: 
  • Si una aplicación encuentra un error fatal de protocolo y luego llama dos veces a la función SSL_shutdown(), una para enviar close_notify y otra para recibirlo, OpenSSL podría responder de forma diferente a la aplicación que llama, dependiendo de si recibe un registro de 0 bytes con un padding inválido o de si recibe un registro de 0 bytes con una MAC inválida. Si la aplicación se comporta de forma diferente a lo esperado por el remote peer, se podrían descifrar datos y obtener información confidencial mediante un ataque de padding oracle. Se ha asignado el identificador CVE-2019-1559 para esta vulnerabilidad.

Encuesta valoración