Vulnerability Bulletins |
Posible compromiso de contraseñas en OpenSSL |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Confidencialidad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | OpenSSL < 0.9.6i |
Description |
|
|
Se ha anunciado una vulnerabilidad en OpenSSL por la cual un atacante podría llegar a obtener una contraseña observando la respuesta del servidor a cierto tipo de tráfico. Múltiples conexiones SSL o TLS implican un bloque fijo común de texto en claro, tal como una contraseña. Un atacante puede sustituir bloques de texto cifrado diseñados por el mismo por bloques enviados por las partes legítimas de la conexión SSL/TLS y medir el tiempo hasta que llega una respuesta. SSL/TLS incluye la autenticación de los datos para asegurarse de que tales bloques modificados de texto cifrado serán rechazados por un de las partes (y la conexión abortada), pero el atacante puede utilizar observaciones de la sincronización para distinguir entre dos casos de error distintos: errores de padding en el cifrado de bloque y errores de verificación de MAC. Esto es suficiente para diseñar un ataque con el que se pueda obtener el bloque completo de texto en claro. |
|
Solution |
|
|
Actualización de software Descargue e instale las versiones 0.9.6i ó 0.9.7 desde la web del fabricante http://www.openssl.org/source/ |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2003-0078 |
| BID | |
Other resources |
|
|
OpenSSL security advisory http://www.openssl.org/news/secadv_20030219.txt HP SECURITY BULLETIN HPSBUX0303-248 http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0303-248 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-02-20 |