Han publicado la versión 1.0.0e de OpenSSL que soluciona dos vulnerabilidades.
OpenSSL es un proyecto pensado en desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3), de los protocolos de seguridad en la capa de transporte (TLS v1) así como de una librería criptográfica de propósito general.
La primera de las vulnerabilidades corregidas, identificada como CVE-2011-3207, es un error al validar CRL. Esta falla permite a un atacante validar como correcto un certificado especialmente diseñado, por ejemplo haciendo uso de X509_V_FLAG_CRL_CHECK o X509_V_FLAG_CRL_CHECK_ALL.
La segunda falla solucionada es un error en 'ephemeral ECDH ciphersuites', que permite provocar una denegación de servicio a través de peticiones en un orden incorrecto. Como contramedida se puede desactivar 'ephemeral ECDH ciphersuites'. Esta falla se ha identificado con el CVE-2011-3210.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4705
OpenSSL es un proyecto pensado en desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3), de los protocolos de seguridad en la capa de transporte (TLS v1) así como de una librería criptográfica de propósito general.
La primera de las vulnerabilidades corregidas, identificada como CVE-2011-3207, es un error al validar CRL. Esta falla permite a un atacante validar como correcto un certificado especialmente diseñado, por ejemplo haciendo uso de X509_V_FLAG_CRL_CHECK o X509_V_FLAG_CRL_CHECK_ALL.
La segunda falla solucionada es un error en 'ephemeral ECDH ciphersuites', que permite provocar una denegación de servicio a través de peticiones en un orden incorrecto. Como contramedida se puede desactivar 'ephemeral ECDH ciphersuites'. Esta falla se ha identificado con el CVE-2011-3210.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4705
No hay comentarios:
Publicar un comentario