Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidades en OpenSSL |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | official+tested |
| Impacto | Aumento de privilegios |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado |
OpenSSL en todas sus versiones, incluyendo 1.0.1c, 1.0.0j y 0.9.8x. AES-NI para TLS 1.2 o TLS 1.1 en OpenSSL 1.0.1c. |
Descripción |
|
|
Una de las vulnerabilidades reside en la una incorrecto manejo del cifrado CBC en SSL, TLS y DTLS. Esta vulnerabilidad aprovecha la diferencia de tiempos durante el proceso de MAC. Otra vulnerabilidad puede llegar a producir un ataque de denegación de servicio (DoS). El problema reside en un desbordamiento en el manejo de los cifrados CBC en TLS 1.1 y TLS 1.2 en AES-NI. La última vulnerabilidad también puede llegar a provocar una denegación de servicio, y se basa de igual modo en un desbordamiento en el manejo de la respuesta de verificación OCSP. |
|
Solución |
|
|
OpenSSL recomienda actualizar a: - OpenSSL 1.0.1d, 1.0.0k o 0.9.8y para la vulnerabilidad CVE-2013-0169 - OpenSSL 1.0.1d para la vulnerabilidad CVE-2012-2686 - OpenSSL 1.0.1d, 1.0.0k or 0.9.8y para la vulnerabilidad CVE-2013-0166 |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2013-0169 CVE-2012-2686 CVE-2013-0166 |
| BID | |
Recursos adicionales |
|
|
OpenSSL Security Advisory: http://www.openssl.org/news/secadv_20130204.txt |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2013-02-07 |