Vulnerability Bulletins |
Predicción de datos aleatorios en OpenSSL FIPS Object Module |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Confidencialidad |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | OpenSSL FIPS Object Module v1.1.1 |
Description |
|
|
Se ha encontrado una vulnerabilidad en OpenSSL FIPS Object Module en la versión v1.1.1 en la implementación PRNG. La vulnerabilidad reside en un error en la implementación del generador de números pseudo aleatorios, donde una clave PRNG y una semilla utilizadas en la generación fueron también utilizadas en el último test del programa. Un atacante remoto podría llegar a predecir datos generados de forma aleatoria. |
|
Solution |
|
|
Actualización de software OpenSSL OpenSSL v1.1.1 patch http://www.openssl.org/news/patch-CVE-2007-5502-1.txt http://www.openssl.org/news/patch-CVE-2007-5502-2.txt Actualizar a OpenSSL FIPS Object Module v1.2. http://openssl.org/source/openssl-fips-1.1.2.tar.gz Actualmente dicha versión aún no está disponible. |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2007-5502 |
| BID | |
Other resources |
|
|
OpenSSL http://www.openssl.org/news/secadv_20071129.txt |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2007-12-03 |