----- Forwarded message from Salcocho Noticioso <feedblas...@hcg.sld.cu> -----
Date: Thu, 28 Jan 2016 23:00:09 -0500 From: Salcocho Noticioso <feedblas...@hcg.sld.cu> To: laz...@hcg.sld.cu Subject: OpenSSL soluciona dos vulnerabilidades [Hispasec @unaaldia] X-Mailer: feedblaster.rb - ruby 2.3.0p0 (2015-12-25 revision 53290) [x86_64-linux] OpenSSL soluciona dos vulnerabilidades El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir dos vulnerabilidades, una calificadas de impacto alto y otra de gravedad baja. [openssl-logo] El primero de los problemas, de gravedad alta, reside en una vulnerabilidad (con CVE-2016-0701) en OpenSSL 1.0.2 por la generación de números primos considerados inseguros. Históricamente OpenSSL sólo ha generado parámetros Diffie–Hellman (DH) en base a los números primos "seguros". En la versión 1.0.2 se proporcionó soporte para la generación de archivos de parámetros de estilo X9.42 tal como se requería para soportar el RFC 5114. Sin embargo los números primos utilizados en este tipo de archivos puede que no sean "seguros". Un atacante ser utilizar este problema para descubrir el exponente privado DH de un servidor TLS si éste se está reutilizando o se usa un conjunto de cifrado DH estático. Por otra parte, con CVE-2015-3197 y gravedad baja, una vulnerabilidad que podría permitir a un cliente malicioso negociar cifrados SSLv2 desactivados en el servidor y completar negociaciones SSLv2 incluso aunque todos los cifrados SSLv2 hayan sido desactivados. La única condición es que el protocolo SSLv2 no haya sido también desactivado a través de SSL_OP_NO_SSLv2. Este problema afecta a OpenSSL versiones 1.0.2 y 1.0.1. También se incluye una actualización referente a la ya conocida logjam(de la que ya hablamos en una-al-día) de junio del pasado año y ya solucionada. Recordamos que reside en una vulnerabilidad (con CVE-2015-4000) en el protocolo TLS que básicamente permite a un atacante que haga uso de técnicas de "hombre en el medio" degradar la seguridad de las conexiones TLS a 512 bits. En su momento OpenSSL corrigió Logjam en las versiones 1.0.2b y 1.0.1n rechazando conexiones menores de 768 bits. En la actualidad este límite se ha incrementado a 1024 bits. OpenSSL ha publicado las versiones 1.0.2f y 1.0.1r disponibles desde http://openssl.org/source/ También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año. Más información: OpenSSL Security Advisory [28th Jan 2016] http://openssl.org/news/secadv/20160128.txt una-al-dia (21/05/2015) Logjam, el hacedor de llaves en el reino de las cerraduras cobardes http://unaaldia.hispasec.com/2015/05/ logjam-el-hacedor-de-llaves-en-el-reino.html Antonio Ropero anton...@hispasec.com Twitter: @aropero * ----- End forwarded message ----- -- -------- Warning! ------------ 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
