2012) Nueva versión de OpenSSL soluciona 6 vulnerabilidades

Damián Tomey Soto Tue, 10 Jan 2012 11:12:36 -0800

----- Original Message -----From: <notic...@hispasec.com>

To: <unaal...@hispasec.com>
Sent: Monday, January 09, 2012 11:27 AM

Subject: una-al-dia (07/01/2012) Nueva versión de OpenSSL soluciona 6vulnerabilidades

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
 Hispasec - una-al-día                                  07/01/2012
 Todos los días una noticia de seguridad          www.hispasec.com
 Síguenos en Twitter: http://twitter.com/unaaldia
-------------------------------------------------------------------

Nueva versión de OpenSSL soluciona 6 vulnerabilidades
-----------------------------------------------------

OpenSSL ha publicado un aviso de seguridad con las vulnerabilidades que
se han parcheado en sus últimas versiones, la 1.0.0f y 0.9.8s.

OpenSSL es un conjunto de herramientas de código abierto destinadas a
implementar los protocolos SSL v2 y v3 y TLS v1, además de una librería
de criptográfica de propósito general.

CVE-2011-4108: Se trata de un ataque contra la implementación de DTLS
(Datagram TLS). Permite una recuperación eficiente del texto plano a
través de la medición del tiempo de descifrado. Importante señalar que
el problema se encuentra en la implementación de DTLS realizada en
OpenSSL, no el protocolo en sí.

CVE-2011-4109: Cuando el flag 'X509_V_FLAG_POLICY_CHECK' se encontraba
activado, un fallo podría incurrir en un error de doble liberación de
memoria. Los usuarios de la rama 1.0.0 no se ven afectados.

CVE-2011-4576: Esta vulnerabilidad afecta tanto al cliente como al
servidor de OpenSSL. El error se encontraba al no limpiar correctamente
las zonas de memoria utilizadas para servir de relleno en los cifrados
por bloque.

CVE-2011-4577: Las instalaciones de OpenSSL que permitiesen la
utilización del RFC 3779 (desactivada por defecto) podrían ser objetivo
de ataques de denegación de servicio al incluir datos especialmente
manipulados.

CVE-2011-4619: En caso de que 'Server Gated Cryptograpy' (SGC)
permitiese el reinicio de 'handshake', podría ser aprovechado con el fin
de causar una denegación de servicio.

CVE-2012-0027: Los usuarios del motor GOST de OpenSSL a los que se
conectase un cliente TLS malicioso podrían ser objetivo de un ataque de
denegación de servicio. El método utilizado sería el envío de parámetros
GOST incorrectos al servidor aprovechando una falta de las
comprobaciones de error.

Todas estas vulnerabilidades se han solucionado en las versiones 1.0.0f
y 0.9.8s de OpenSSL, a las cuales se recomienda actualizar.
http://openssl.org/source/

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/nueva-version-de-openssl-soluciona-6.html#comments

Más información:

OpenSSL Security Advisory [04 Jan 2012] Advisory:
http://openssl.org/news/secadv_20120104.txt


Javier Rascón
jras...@hispasec.com


Tal día como hoy:
-----------------

07/01/2011: Informática64 reedita en papel el anuario "Una al día: 12 añosde seguridad informática"

   http://www.hispasec.com/unaaldia/4458

07/01/2010: Microsoft publicará un solo parche el próximo martes
   http://www.hispasec.com/unaaldia/4093

07/01/2009: Denegación de servicio en el servicio DNS de Cisco Global SiteSelector

   http://www.hispasec.com/unaaldia/3728

07/01/2008: Denegación de servicio y cross-site scripting en Apache 1.3.x,2.0.x y 2.2.x

   http://www.hispasec.com/unaaldia/3362

07/01/2007: Nuevos contenidos en CriptoRed (diciembre de 2006)
   http://www.hispasec.com/unaaldia/2997

07/01/2006: Múltiples vulnerabilidades en rama 2.6 del kernel de Linux
   http://www.hispasec.com/unaaldia/2632

07/01/2005: Grave problema de seguridad en versiones no actualizadas deMozilla

   http://www.hispasec.com/unaaldia/2267

07/01/2004: Solicitud de comentarios sobre las extensiones de seguridad enel protocolo DNS

   http://www.hispasec.com/unaaldia/1900

07/01/2003: Vulnerabilidades en iCal web calendar server
   http://www.hispasec.com/unaaldia/1535

07/01/2002: Ejecución de órdenes arbitrarias del shell en PINE
   http://www.hispasec.com/unaaldia/1170

07/01/2001: Visualización de archivos en Internet Information Server
   http://www.hispasec.com/unaaldia/805

07/01/2000: Internet Information Server revela la estructura dedirectorios

   http://www.hispasec.com/unaaldia/437

07/01/1999: RSA evita la regulación criptográfica de EE.UU.
   http://www.hispasec.com/unaaldia/72


-------------------------------------------------------------------
 Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
 Bajas:   mailto:unaaldia-requ...@hispasec.com?subject=unsubscribe
 Altas:   mailto:unaaldia-requ...@hispasec.com?subject=subscribe
-------------------------------------------------------------------
 (c) 2012 Hispasec               http://www.hispasec.com/copyright
-------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (MingW32)

iQEcBAEBAgAGBQJPCyKzAAoJEI/UizGiFA4PKvsIAJ4OLAkDluSteGrRiCRfcl2M
NEGNMYzF84gQmqRsXUprWzauABRQjLfC+7KKhSgZQef1NoIl2afCuwtYowyWCjMi
2ifQtlx3mN78iE9ODuYJgEXun2J9MNM1go7NiUfhGFS2plw/+oEVBdl7PWM6oywH
tZEKP8nNwU7BeRo+0qhrDbRfL7ne5ylRk4ybpAct/CUl7gdwH5FJLLrJxohlDelt
XTROEUO3FxuX2vyZKVIIiJ7GaSHT65iLiMPF5vUPfgMpO+FVM1y65+xDSlYNBIyB
hiVT6zG5sVSs6bsPhTeWyiVP5ZvPIPaf3mKua4KIrBKaKL2d0nwH12O24pqCfBA=
=qKCE
-----END PGP SIGNATURE-----




______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

[Gutl-l] Fw: una-al-dia (07/01/2012) Nueva versión de OpenSSL soluciona 6 vulnerabilidades

Responder a