Vulnerabilidad remota en OpenSSL

Imagen de squirrel
Enviado por squirrel en

Foros: 

Se ha descubierto una vulnerabilidad crítica en OpenSSL, que permite provocar corrupción de memoria debido a un incorrecto manejo de la conversión entre enteros. Todas las versiones están afectadas hasta la versión 1.0.1. Ya se ha realizado la corrección en el código de OpenSSL, por lo que se recomienda que se actualicen todos los sistemas que tengan versiones afectadas (la disponibilidad de versiones actualizadas dependerá según cada distribución).

Visto vía Slashdot

[OpenSSL] Debian ya lo ha corregido

Gracias squirrel, hoy he actualizado una v6.0 de la popular distribución Debian (el nombre en clave o alias de esta versión estable es 'Squeeze' en referencia a uno de los juguetes de la película 'Toy Story') y he comprobado que la vulnerabilidad debida a una probable corrupción de memoria por errores en la conversión de números enteros -esto es; que no tienen decimales o coma flotante- está corregida desde el mismo Jueves día 19 de los corrientes:

openssl (0.9.8o-4squeeze11) squeeze-security; urgency=low

* Really apply CVE-2012-2110

-- Kurt Roeckx [dirección de correo-e omitida] Thu, 19 Apr 2012 21:12:34 +0200

openssl (0.9.8o-4squeeze10) squeeze-security; urgency=low

* Fix CVE-2012-2110
* update CVE-2012-0884 patch to include detecting symmetric crypto errors
in PKCS7_decrypt

-- Kurt Roeckx [dirección de correo-e omitida] Thu, 19 Apr 2012 20:30:38 +0200

Saludos cordiales,

Pedro Fernández
--

Openssl Cryptography Software,
freely usable by any application.

Imágenes: 

openssl_button.gif

[OpenSSL] Sólo para v0.9.8: re-actualización urgente

Ayer -Martes 24 de Abril de 2012-, se descubrió que la anterior actualización para la vulnerabilidad descrita en el CVE-2012-2110 del Jueves 19 anterior, tan oportunamente enlazada por squirrel aquí, en el 'nuevo' Kriptópolis, fue suficiente para las versiones de OpenSSL 1.0.0 y 1.0.1 más recientes; pero no así para la versión 0.9.8 algo más antigua aunque funcional en muchos sistemas por lo que es necesario actualizarlos de nuevo a la mayor brevedad si usan dicha versión 0.9.8 en su implementación de OpenSSL.

Hoy he actualizado una distribución Debian con este problema y he comprobado que la re-actualización de esta vulnerabilidad para la v0.9.8 ha sido realizada ayer mismo:

openssl (0.9.8o-4squeeze12) squeeze-security; urgency=high

* Non-maintainer upload by the Security Team.
* Fix CVE-2012-2131: incomplete fix of CVE-2012-2110

-- Raphael Geissert Tue, 24 Apr 2012 16:41:03 -0500

Es fácil comprobar que versión OpenSSL está disponible en el sistema poniendo en la consola o intérprete de comandos 'openssl version'.

Saludos cordiales,

Pedro Fernández
--

Openssl Cryptography Software,
freely usable by any application.

Imágenes: 

openssl_button.gif

[OpenSSL] Nueva actualización de seguridad urgente

En la entrada de la lista 'full-disclosure' enlazada a continuación: OpenSSL 'integer underflow' CVE ID: CVE-2012-2333, se puede leer desde el pasado día 18, Viernes; lo siguiente:

.../...
Package        : openssl
Vulnerability  : integer underflow
Problem type   : remote
Debian-specific: no
CVE ID         : CVE-2012-2333
 
It was discovered that openssl did not correctly handle explicit
Initialization Vectors for CBC encryption modes, as used in TLS 1.1,
1.2, and DTLS. An incorrect calculation would lead to an integer
underflow and incorrect memory access, causing denial of service
(application crash.)
 
For the stable distribution (squeeze), this problem has been fixed in
version 0.9.8o-4squeeze13.
 
For the testing distribution (wheezy), and the unstable distribution
(sid), this problem has been fixed in version 1.0.1c-1.
 
We recommend that you upgrade your openssl packages.
.../...

Hoy he actualizado una distribución Debian con este problema y he comprobado que la actualización de esta vulnerabilidad ha sido realizada sin demora:

openssl (0.9.8o-4squeeze13) squeeze-security; urgency=high

* Non-maintainer upload by the Security Team.
* Fix CVE-2012-2333: DoS via explicit IV in DTLS

-- Raphael Geissert Wed, 16 May 2012 16:39:28 -0500

Saludos cordiales,

Pedro Fernández
--

Openssl Cryptography Software,
freely usable by any application.

Imágenes: 

openssl_button.gif

opinar

Más información sobre los formatos de texto

Texto puro

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
By submitting this form, you accept the Mollom privacy policy.
Cifrando tus datos...