Miembros de
Boletines de Vulnerabilidades |
Predicción de datos aleatorios en OpenSSL FIPS Object Module |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Confidencialidad |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | OpenSSL FIPS Object Module v1.1.1 |
Descripción |
|
|
Se ha encontrado una vulnerabilidad en OpenSSL FIPS Object Module en la versión v1.1.1 en la implementación PRNG. La vulnerabilidad reside en un error en la implementación del generador de números pseudo aleatorios, donde una clave PRNG y una semilla utilizadas en la generación fueron también utilizadas en el último test del programa. Un atacante remoto podría llegar a predecir datos generados de forma aleatoria. |
|
Solución |
|
|
Actualización de software OpenSSL OpenSSL v1.1.1 patch http://www.openssl.org/news/patch-CVE-2007-5502-1.txt http://www.openssl.org/news/patch-CVE-2007-5502-2.txt Actualizar a OpenSSL FIPS Object Module v1.2. http://openssl.org/source/openssl-fips-1.1.2.tar.gz Actualmente dicha versión aún no está disponible. |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2007-5502 |
| BID | |
Recursos adicionales |
|
|
OpenSSL http://www.openssl.org/news/secadv_20071129.txt |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2007-12-03 |