Ir al contenido principal
Imagen
De
Desde Hispasec nos cuentan:

OpenSSL soluciona siete vulnerabilidades

El proyecto OpenSSL ha publicado un boletín en el que corrige siete nuevas vulnerabilidades, además de la ya conocida como logjam, otras cinco calificadas de impacto moderado y una última de gravedad baja.

En primer lugar se soluciona la ya conocida logjam (de la que ya hablamos en una-al-día) que reside en una vulnerabilidad (con CVE-2015-4000) en el protocolo TLS que básicamente permite a un atacante que haga uso de técnicas de "hombre en el medio" degradar la seguridad de las conexiones TLS a 512 bits.

Una vulnerabilidad (de gravedad moderada) de denegación de servicio en el módulo de criptografía de curvas elípticas. Reside en que al tratar estructuras ECParameters si la curva especificada está específicamente mal construida, OpenSSL entrará en un bucle infinito (CVE-2015-1788).

También de gravedad moderada, una lectura fuera de límites en X50_cmp_time en la lectura de cadenas ASN1_TIME, que puede permitir a un atacante provocar condiciones de denegación de servicio (CVE-2015-1789). Una vulnerabilidad de referencia a puntero nulo en el tratamiento de PKCS#7 (CVE-2015-1790). Una denegación de servicio debido a un bucle infinito en el código CMS al verificar mensajes signedData con una función hash desconocida (CVE-2015-1792). Mientras que de gravedad baja, una condición de carrera en el tratamiento de NewSessionTicket (CVE-2015-1791).

Por último, una vulnerabilidad que ya fue corregida en junio del año pasado, por lo que no afecta a las versiones actuales de OpenSSL.
El problema se debe a una corrupción de memoria en DTLS (CVE-2014-8176). Solo afecta a versiones OpenSSL 1.0.1 y anteriores.

OpenSSL ha publicado las versiones 1.0.2b, 1.0.1n, 1.0.0s y 0.9.8zg disponibles desde
http://openssl.org/source/
También se recuerda por parte de OpenSSL que las versiones 1.0.0 y 0.9.8 acaban su soporte a finales de año.

Más información:

una-al-dia (21/05/2015) Logjam, el hacedor de llaves en el reino de las cerraduras cobardes
http://unaaldia.hispasec.com/2015/05/logjam-el-hacedor-de-llaves-en-el-reino.html

OpenSSL Security Advisory [11 Jun 2015]
https://www.openssl.org/news/secadv_20150611.txt



Fuente:
http://unaaldia.hispasec.com/2015/06/openssl-soluciona-siete-vulnerabilidades.html


Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

La H-1B: El viaje de un desarrollador iOS desde Honduras hasta Silicon Valley

De
Desde toptal.com nos cuentan ... La experiencia de un desarrollador Latinoamericano que llego hasta Silicon Valler desde Honduras, un interesante artículo que nos cuenta la travesía de llegar a trabajar en San Francisco, California. He aquí un fragmento del articulo: Por estos días, vivo en la gran ciudad de San Francisco. Obtuve un trabajo que amo, y uno con el cual soñé con tener durante mucho tiempo. Parece fácil ahora, pero no siempre fue así. Cómo empezó todo Nací en  San Pedro Sula , un pequeño pueblo en la esquina noroeste de Honduras. Comencé a programar cuando tenía 12 años. Todo empezó con BASIC. Un día, estaba jugando un vídeo juego y se colgó. Cuando ví la pantalla llena de códigos de error y mensajes, me picó la curiosidad—entonces comencé a aprender algunos comandos BASIC, que eventualmente me llevaron a comprar libros de programación sobre Clipper, Turbo Pascal, C, C++, etc. Fue genial. Tenía todo el tiempo del mundo para gastar programando cualq...
Publicar un comentario
Leer más

Por Qué Los Startups Necesitan Una Guía De Estilo

De
Incluso para un diseñador con experiencia, crear una nueva guía de estilo para un producto es difícil—hay muchas direcciones de diseño posible, y el proceso puede rápidamente convertirse en algo abrumador. La vida del  startup  es bastante agitada, rápida, y llena de clichés como “la perfección es la enemiga de tener algo hecho”, “muévete rápido y rompe cosas”, o “lancemos ahora, arreglemoslo después”. Crear una guía de estilo bajo dichos eslóganes y prioridades fluctuantes es desafiante, pero es necesario si queremos que el diseño de un producto tenga éxito a largo plazo. La  Experiencia Global de Lenguaje (GEL) de la BBC explica el propósito de cada componente y cómo deberían ser utilizados. En años recientes, hemos escuchado mucho sobre sistemas de diseño, guías de estilo, librerías de patrones, y  diseño atómico . Y si bien estas herramientas son muy útiles, usarlas puede sentirse como un exceso cuando lo único que quieres es crear un par de pantalla...
Publicar un comentario
Leer más

Un Tutorial de Aprendizaje Profundo: De Perceptrones a Redes Profundas

De
IA (iiiii AAA) no .. no son solo un par de vocales son las siglas de "Inteligencia Artificial" un campo de la informática que estudia la inteligenia exhibida por las máquinas y hoy hablaremos de esto. Te vamos a enseñar conceptos básicos de IA de una forma fáci. Comencemos, el dia de hoy tenemos este super interesante artículo que nos comparten desde Toptotal.com sobre el "Aprendizaje profundo de perceptrones a redes profundas" y si te suena a Chino no lo es :) Te invito a que leeas este articulo: En los últimos años, ha habido un resurgimiento en el campo de la Inteligencia Artificial. Se ha extendido más allá del mundo académico, con grandes figuras como  Google , Microsoft y  Facebook , quienes han creado sus propios equipos de investigación, obteniendo impresionantes  adquisiciones . Se comenta que esto puede atribuirse a la gran cantidad de datos brutos generados por los usuarios de redes sociales, muchos de los cuales deben ser analizados, al igual qu...
Publicar un comentario
Leer más