El
proyecto OpenSSL ha confirmado una nueva vulnerabilidad cuyo impacto no ha
desvelado.
El problema reside en una
condición de carrera si un cliente multihilo recibe un NewSessionTicket cuando
intenta reusar un ticket anterior, lo que podría dar lugar a problema de doble
liberación de memoria en los datos del ticket.
Se le ha asignado el CVE-2015-1791,
y OpenSSL ha publicado una actualización en forma de código:
https://git.openssl.org/?p=openssl.git;a=commit;h=98ece4eebfb6cd45cc8d550c6ac0022965071afc
Más información:
Fix race condition in NewSessionTicket
Antonio Ropero
Twitter: @aropero