Vulnerability Bulletins |
Múltiples denegaciones de servicio en OpenSSL |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Denegación de Servicio |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
OpenSSL 0.9.8f OpenSSL 0.9.8g |
Description |
|
|
Se han encontrado múltiples vulnerabilidades en OpenSSL 0.9.8f y 0.9.8g. Las vulnerabilidades son descritas a continuación: - CVE-2008-0891: La vulnerabilidad reside en un error de doble liberación de memoria al procesar extensiones de nombre de servidor cuando están habilitadas y OpenSSL ha sido compilado utilizando extensiones de nombre de servidor TLS que no están por defecto. Un atacante remoto podría causar una denegación de servicio mediante un paquete especialmente diseñado. - CVE-2008-1672: La vulnerabilidad reside en un error al manejar ciertos paquetes TLS. Un atacante remoto podría causar una denegación de servicio mediante paquetes TLS Handshake especialmente diseñados que omiten el mensaje "Server Key Exchange" y utilizan una suite de cifrado particular. |
|
Solution |
|
|
Actualización de software OpenSSL 0.9.8h http://www.openssl.org/source/openssl-0.9.8h.tar.gz |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2008-0891 CVE-2008-1672 |
| BID | 29405 |
Other resources |
|
|
OpenSSL Security Advisory http://www.openssl.org/news/secadv_20080528.txt |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2008-06-05 |