Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en SSL/TLS |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Interrupcion del Servicio |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | UNIX |
| Software afectado |
OpenSSL 0.9.6j, 0.9.7b SSLeay |
Descripción |
|
|
Se han descubierto diversas vulnerabilidades en los componentes SSL y TLS de las versiones 0.9.6 y 0.9.7 de OpenSSL. La explotación de estas vulnerabilidades puede provocar una denegación de servicio en OpenSSL. Todas las aplicaciones que utilicen conexiones seguras implementadas con OpenSSL están afectadas por estas vulnerabilidades. Aunque todavía no se ha demostrado, podría ser posible la ejecución de código arbitrario en el sistema vulnerable. |
|
Solución |
|
|
Actualización de software 01 - Aplíquese el parche relacionado con las vulnerabilidades descritas en OpenSSL 0.9.6 and 0.9.7 OpenSSL 0.9.6 y 0.9.7 http://www.openssl.org/source/openssl-0.9.7c.tar.gz http://www.openssl.org/source/openssl-0.9.6k.tar.gz 02 - Linux Mandrake Parches para Linux Madrake ftp://ftp.linux.tucows.com/pub/distributions/Mandrake/Mandrake/updates 03 - Linux RedHat Linux Red Hat 7.1 ftp://updates.redhat.com/7.1/en/os/ Linux Red Hat 7.2 ftp://updates.redhat.com/7.2/en/os/ Linux Red Hat 7.3 ftp://updates.redhat.com/7.3/en/os/ Linux Red Hat 8.0 ftp://updates.redhat.com/8.0/en/os/ Linux Red Hat 9.0 ftp://updates.redhat.com/9/en/os/ 04 - SGI SGI OpenSSL 0.9.7.c package ftp://patches.sgi.com/support/free/security/patches/6.5.22/openssl.tardist 05 - Linux Slackware Linux Slackware 8.1 ftp://ftp.slackware.com/pub/slackware/slackware-8.1/patches/packages/openssl-0.9.6k-i386-1.tgz ftp://ftp.slackware.com/pub/slackware/slackware-8.1/patches/packages/openssl-solibs-0.9.6k-i386-1.tgz Linux Slackware 9.0 ftp://ftp.slackware.com/pub/slackware/slackware-9.0/patches/packages/openssl-solibs-0.9.7c-i386-1.tgz ftp://ftp.slackware.com/pub/slackware/slackware-9.0/patches/packages/openssl-0.9.7c-i386-1.tgz Linux Slackware 9.1 ftp://ftp.slackware.com/pub/slackware/slackware-9.1/patches/packages/openssl-0.9.7c-i486-1.tgz ftp://ftp.slackware.com/pub/slackware/slackware-9.1/patches/packages/openssl-solibs-0.9.7c-i486-1.tgz 06 -Cisco Las soluciones para Cisco se pueden encontrar en: http://www.cisco.com/warp/public/707/cisco-sa-20030930-ssl.shtml#software 07-SUN SPARC & Sun Java System Directory Server 5.1 incluido http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=113859&rev=03 x86 & Sun Java System Directory Server 5.1 incluido http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=114273&rev=03 Sun Java System Directory Server 5.1: Instalar Service Pack 3 o posterior |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CAN-2003-0543 CAN-2003-0544 CAN-2003-0545 |
| BID | |
Recursos adicionales |
|
|
UNIRAS alerts 27/03 and 28/03 http://www.uniras.gov.uk/vuls/2003/006489/openssl.htm UNIRAS alerts 27/03 and 28/03 http://www.uniras.gov.uk/vuls/2003/006489/tls.htm Cisco advisory concerning the SSL vulnerabilities dated September 30, 2003 http://www.cisco.com/warp/public/707/cisco-sa-20030930-ssl.shtml Linux Debian security advisory DSA 393-1 dated October 1, 2003 http://www.debian.org/security/2003/dsa-393 Linux Mandrake security advisory MDKSA-2003:098 dated September 30, 2003 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:095 Linux RedHat security advisories RHSA-2003:291 dated September 30, 2003 http://www.redhat.com/support/errata/RHSA-2003-291.html Linux RedHat security advisories RHSA-2003:292 dated September 30, 2003 http://www.redhat.com/support/errata/RHSA-2003-292.html Linux SuSE security advisory SuSE-SA:2003:043 dated October 2, 2003 http://www.suse.de/de/security/2003_039_openssh.html OpenSSL security advisory dated September 30, 2003 http://www.openssl.org/news/secadv_20030930.txt SGI security advisory 20030904-01-P dated September 30, 2003 ftp://patches.sgi.com/support/free/security/advisories/20030904-01-P.asc HP security bulletin HPSBUX0310-284 dated October 2, 2003 http://itrc.hp.com HP security bulletin HPSBUX0310-290 http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0310-290 Sun Alert Notificacion 57599 http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F57599&zone_32=category%3Asecurity |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2003-10-03 |
| 1.1 | Aviso amitido por SUN (57599) | 2004-08-12 |