Vulnerability Bulletins |
Vulnerabilidades en OpenSSL |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | official+tested |
| Impact | Aumento de privilegios |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
OpenSSL en todas sus versiones, incluyendo 1.0.1c, 1.0.0j y 0.9.8x. AES-NI para TLS 1.2 o TLS 1.1 en OpenSSL 1.0.1c. |
Description |
|
|
Una de las vulnerabilidades reside en la una incorrecto manejo del cifrado CBC en SSL, TLS y DTLS. Esta vulnerabilidad aprovecha la diferencia de tiempos durante el proceso de MAC. Otra vulnerabilidad puede llegar a producir un ataque de denegación de servicio (DoS). El problema reside en un desbordamiento en el manejo de los cifrados CBC en TLS 1.1 y TLS 1.2 en AES-NI. La última vulnerabilidad también puede llegar a provocar una denegación de servicio, y se basa de igual modo en un desbordamiento en el manejo de la respuesta de verificación OCSP. |
|
Solution |
|
|
OpenSSL recomienda actualizar a: - OpenSSL 1.0.1d, 1.0.0k o 0.9.8y para la vulnerabilidad CVE-2013-0169 - OpenSSL 1.0.1d para la vulnerabilidad CVE-2012-2686 - OpenSSL 1.0.1d, 1.0.0k or 0.9.8y para la vulnerabilidad CVE-2013-0166 |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2013-0169 CVE-2012-2686 CVE-2013-0166 |
| BID | |
Other resources |
|
|
OpenSSL Security Advisory: http://www.openssl.org/news/secadv_20130204.txt |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2013-02-07 |