Boletines de Vulnerabilidades |
Vulnerabilidad en la librería SSL/TLS de OpenSSL |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Confidencialidad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado |
OpenSSL 0.9.6b - 0.9.6i OpenSSL 0.9.7, 0.9.7a. |
Descripción |
|
Se ha descubierto una vulnerabilidad en la librería SSL/TLS de OpenSSL. El comportamiento del servidor cuando maneja textos cifrados RSA especiales puede revelar información que permita al atacante realizar operaciones simples con la clave privada RSA en un texto cifrado arbitrario usando la clave RSA del servidor víctima. Nótese que no se compromete la calve del servidor. Un atacante necesita establecer millones de conexiones al servidor para explotar el fallo. |
|
Solución |
|
Actualización de software Aplique el parche proporcionado por el fabricante http://www.openssl.org/news/secadv_20030319.txt |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2003-0131 |
BID | |
Recursos adicionales |
|
OpenSSL Security Advisory http://www.openssl.org/news/secadv_20030319.txt HP SECURITY BULLETIN HPSBUX0304-255 http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0304-255 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-03-25 |