int(6256)

Boletines de Vulnerabilidades


Conversión errónea de enteros en OpenSSL

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado Aplicaciones que utilicen la librería OpenSSL.

Descripción

Se ha descubierto una vulnerabilidad de corrupción de memoria en OpenSSL.

La vulnerabilidad reside en la función asn1_d2i_read_bio que puede provocar la corrupción de la memoria al leer datos codificados de modo malicioso.

Un atacante remoto podría causar una denegación de servicio mediante la lectura de datos codificados de modo malicioso.

Solución

Instalar las versiones de OpenSSL 1.0.1a, 1.0.0i o 0.9.8v. Las distintas distribuciones publicarán, mediante sus mecanismos de actualización propios, esta versión. También se puede obtener el código fuente.

Identificadores estándar

Propiedad Valor
CVE CVE-2012-2110
BID

Recursos adicionales

[Full-disclosure] incorrect integer conversions in OpenSSL can result in memory corruption.
http://lists.grok.org.uk/pipermail/full-disclosure/2012-April/086585.html

OpenSSL Security Advisory [19 Apr 2012]
http://www.openssl.org/news/secadv_20120419.txt

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2012-04-22

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT