Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
08 de Agosto, 2014    General

Nuevas vulnerabilidades en OpenSSL

Desde que salió a la luz la vulnerabilidad conocida como Heartbleed, OpenSSL parece que está bajo la lupa y nuevamente se dan a conocer más problemas que afectan a la popular librería de cifrado. En esta ocasión el proyecto OpenSSL acaba depublicar un boletín advirtiendo de la corrección de nueve nuevas vulnerabilidades, que afectan a las tres principales ramas del proyecto, aunque no son tan graves como las últimas anunciadas. 

El primero de los problemas (CVE-2014-3508) reside en OBJ_obj2txt que puede provocar una fuga de información con determinadas funciones de impresión. Un segundo problema (CVE-2014-5139)  afecta a clientes OpenSSL 1.0.1 SSL/TLS y podría permitir a un servidor malicioso provocar denegaciones de servicio por una dereferencia de puntero nulo. También se presenta una condición de carrera en ssl_parse_serverhello_tlsext (CVE-2014-3509).

Otras vulnerabilidades de denegación de servicio se deben a una doble liberación de memoria al procesar paquetes DTLS (CVE-2014-3505), por un consumo de grandes cantidades de memoria mientras se procesan mensajes de negociación DTLS(CVE-2014-3506), por una fuga de memoria por el tratamiento de paquetes DTLS con fragmentos de tamaño 0 (CVE-2014-3507) y por una dereferencia de puntero nulo en clientes OpenSSL DTLS con suites de cifrado EC(DH) anónimo (CVE-2014-3510).

Otro problema, se da cuando el mensaje ClientHello está muy fragmentado, lo que puede obligar a servidores OpenSSL 1.0.1 SSL/TLS a negociar TLS 1.0 en vez de versiones del protocolo más modernas (CVE-2014-3511).

Por último, un cliente o servidor malicioso podría enviar parámetros SRP no válidos y sobreescribir un búfer interno. Solo se ven afectadas las aplicaciones configuradas explícitamente para SRP.

Los problemas afectan a las versiones OpenSSL 0.9.8, 1.0.0 y 1.0.1. Se han publicado las versiones OpenSLL 0.9.8zb, 1.0.0n y 1.0.1i que solucionan los problemas descritos y pueden descargarse desde

Más información:

OpenSSL Security Advisory [6 Aug 2014]

una-al-dia (05/06/2014) OpenSSL corrige nuevas vulnerabilidades graves

una-al-dia (08/04/2014) OpenSSL afectada por una vulnerabilidad apodada Heartbleed




Antonio Ropero

Twitter: @aropero
Palabras claves , ,
publicado por alonsoclaudio a las 08:34 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Enero 2023 Ver mes siguiente
DOLUMAMIJUVISA
1234567
891011121314
15161718192021
22232425262728
293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad