Boletines de Vulnerabilidades |
Vulnerabilidades en OpenSSL |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | official+tested |
Impacto | Aumento de privilegios |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado |
OpenSSL en todas sus versiones, incluyendo 1.0.1c, 1.0.0j y 0.9.8x. AES-NI para TLS 1.2 o TLS 1.1 en OpenSSL 1.0.1c. |
Descripción |
|
Una de las vulnerabilidades reside en la una incorrecto manejo del cifrado CBC en SSL, TLS y DTLS. Esta vulnerabilidad aprovecha la diferencia de tiempos durante el proceso de MAC. Otra vulnerabilidad puede llegar a producir un ataque de denegación de servicio (DoS). El problema reside en un desbordamiento en el manejo de los cifrados CBC en TLS 1.1 y TLS 1.2 en AES-NI. La última vulnerabilidad también puede llegar a provocar una denegación de servicio, y se basa de igual modo en un desbordamiento en el manejo de la respuesta de verificación OCSP. |
|
Solución |
|
OpenSSL recomienda actualizar a: - OpenSSL 1.0.1d, 1.0.0k o 0.9.8y para la vulnerabilidad CVE-2013-0169 - OpenSSL 1.0.1d para la vulnerabilidad CVE-2012-2686 - OpenSSL 1.0.1d, 1.0.0k or 0.9.8y para la vulnerabilidad CVE-2013-0166 |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2013-0169 CVE-2012-2686 CVE-2013-0166 |
BID | |
Recursos adicionales |
|
OpenSSL Security Advisory: http://www.openssl.org/news/secadv_20130204.txt |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2013-02-07 |