Noticias y Alertas
Header

Actualización de OpenSSL

abril 20th, 2012 | Posted by kwelladm in Actualizaciones

Sistemas Afectados
Aplicaciones que utilicen la librería OpenSSL.
Descripción
Las nuevas versiones, la 1.0.1a, 1.0.0i y 0.9.8v, solucionan una vulnerabilidad en la lectura de datos en formato DER.
Solución
Instalar las versiones de OpenSSL 1.0.1a, 1.0.0i or 0.9.8v. Las distintas distribuciones publicarán, mediante sus mecanismos de actualización propios, esta versión. También se puede obtener el código fuente.
Detalle
Las actualizaciones solucionan una vulnerabilidad en la función asn1_d2i_read_bio que puede provocar la corrupción de la memoria al leer datos codificados de modo malicioso. Indirectamente afecta a las funciones del tipo d2i_*_bio o d2i_*_fp.

OpenSSL es utilizado en muchas otras aplicaciones, a continuación se detalla como se ven afectadas:
• OpenSSH: esta vulnerabilidad no afecta a la funcionalidad SSL/TLS por lo que no afecta a OpenSSH y tampoco a aplicaciones que utilizan funciones ASN1 basadas en memoria (d2i_X509, d2i_PKCS12, etc.).
• Apache: las aplicaciones que utilizan rutinas PEM no se ven afectadas por lo que si Apache utiliza el formato PEM de certificados y no parsea datos no confiables el riesgo es mínimo.
• Comandos de terminal OpenSSL: se ve afectado si se utilizan datos codificados en el formato DER.
Impacto:
Corrupción de memoria y, como consecuencia, caída de la aplicación u otros efectos.
Referencias
• [Full-disclosure] incorrect integer conversions in OpenSSL can result in memory corruption.
• OpenSSL Security Advisory [19 Apr 2012]

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario