Han públicado una vulnerabilidad en OpenSSL, reportada por Rob Hulswit, por la que un usuario remoto puede causar una denegación de servicio y potencialmente ejecutar código arbitrario.
OpenSSL es un proyecto dirigido en desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3) así como de los protocolos de seguridad en la capa de transporte (TLS v1) así como de una librería criptográfica de propósito general.
Todas las versiones que soporten extensiones TLS se ven afectadas incluyendo OpenSSL 0.9.8f a 0.9.8o, 1.0.0 y 1.0.0a.
Cualquier servidor TLS basado en OpenSSL es vulnerable si es multihilo y emplea el mecanismo de cacheo interno de OpenSSL. Los servidores que sean multiproceso y/o tengan desactivado el cacheo interno de sesión no se ven afectados.
Las recomendaciones dadas por el fabricante son las siguientes:
Para OpenSSL entre las versiones 0.9.8f a 0.9.8o deberían actualizarse a la versión 0.9.8p.
Para OpenSSL 1.0.0 y 1.0.0a deberían actualizarse a la versión 1.0.0b.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4405
No hay comentarios:
Publicar un comentario