Vulnerability Bulletins |
Vulnerabilidad en la librería SSL/TLS de OpenSSL |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Confidencialidad |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
OpenSSL 0.9.6b - 0.9.6i OpenSSL 0.9.7, 0.9.7a. |
Description |
|
|
Se ha descubierto una vulnerabilidad en la librería SSL/TLS de OpenSSL. El comportamiento del servidor cuando maneja textos cifrados RSA especiales puede revelar información que permita al atacante realizar operaciones simples con la clave privada RSA en un texto cifrado arbitrario usando la clave RSA del servidor víctima. Nótese que no se compromete la calve del servidor. Un atacante necesita establecer millones de conexiones al servidor para explotar el fallo. |
|
Solution |
|
|
Actualización de software Aplique el parche proporcionado por el fabricante http://www.openssl.org/news/secadv_20030319.txt |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2003-0131 |
| BID | |
Other resources |
|
|
OpenSSL Security Advisory http://www.openssl.org/news/secadv_20030319.txt HP SECURITY BULLETIN HPSBUX0304-255 http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0304-255 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-03-25 |