Boletines de Vulnerabilidades |
Conversión errónea de enteros en OpenSSL |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado | Aplicaciones que utilicen la librería OpenSSL. |
Descripción |
|
Se ha descubierto una vulnerabilidad de corrupción de memoria en OpenSSL. La vulnerabilidad reside en la función asn1_d2i_read_bio que puede provocar la corrupción de la memoria al leer datos codificados de modo malicioso. Un atacante remoto podría causar una denegación de servicio mediante la lectura de datos codificados de modo malicioso. |
|
Solución |
|
Instalar las versiones de OpenSSL 1.0.1a, 1.0.0i o 0.9.8v. Las distintas distribuciones publicarán, mediante sus mecanismos de actualización propios, esta versión. También se puede obtener el código fuente. | |
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2012-2110 |
BID | |
Recursos adicionales |
|
[Full-disclosure] incorrect integer conversions in OpenSSL can result in memory corruption. http://lists.grok.org.uk/pipermail/full-disclosure/2012-April/086585.html OpenSSL Security Advisory [19 Apr 2012] http://www.openssl.org/news/secadv_20120419.txt |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-04-22 |