Vulnerability Bulletins |
Múltiples vulnerabilidades en OpenSSL |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de privilegios |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
OpenSSL < 0.9.8o OpenSSL 1.0 < 1.0.0a |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en OpenSSL versiones anteriores a 0.98o y 1.x anteriores a 1.0.0a. - CVE-2010-0742: La vulnerabilidad reside en la implementación CMS (Cryptographic Message Syntax) dentro de "crypto/cms/cms_asn1.c", a la hora de manejar estructuras que contienen OriginatorInfo. Un atacante remoto podría modificar direcciones inválidas de memoria, realizar liberaciones dobles de memoria y posiblemente ejecutar código arbitrario mediante métodos no especificados. - CVE-2010-1633: La vulnerabilidad reside en la recuperación de verificación RSA dentro de la función "EVP_PKEY_verify_recover", la cual devuelve memoria sin inicialzar en caso de fallo. Un atacante remoto podría saltarse restricciones clave de requisitos u obtener información confidencial mediante métodos no especificados. |
|
Solution |
|
|
Actualización de software OpenSSL OpenSSL 0.9.8o o 1.0.0a http://www.openssl.org/source/ |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2010-0742 CVE-2010-1633 |
| BID |
40502 40503 |
Other resources |
|
|
OpenSSL http://www.openssl.org/news/secadv_20100601.txt |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2010-06-08 |