Vulnerability Bulletins |
Actualización de seguridad para OpenSSL |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de la visibilidad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | Todas las versiones de OpenSSL están afectadas incluyendo 1.0.1c, 1.0.0j y 0.9.8x. |
Description |
|
|
Según los investigadores, la vulnerabilidad permitiría llevar a cabo ataques man-in-the-middle con los que se podría conseguir conexiones TLS/DTLS en texto plano, cuando el modo de operación CBC (Cipher-block chain) está habilitado. Un error de temporización en la forma en la que trabaja el descifrado TLS cuando se utiliza CBC permitiría, cuando se dan una serie de circunstancias, que un atacante pudiera descifrar información confidencial como contraseñas o cookies. Esta vulnerabilidad es parcialmente mitigada cuando se utiliza OpenSSL junto con el módulo OpenSSL FIPS Object y cuando el modo FIPS está habilitado. |
|
Solution |
|
| Todos los usuarios afectados deben actualizar a OpenSSL 1.0.1d, 1.0.0k o 0.9.8y. | |
Standar resources |
|
| Property | Value |
| CVE | CVE-2013-0169 |
| BID | |
Other resources |
|
|
SSL, TLS and DTLS Plaintext Recovery Attack (CVE-2013-0169) http://www.openssl.org/news/secadv_20130204.txt |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2013-02-18 |