La librería OpenSSL es un desarrollo “Open Source” que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y “hash”, generadores de claves, generadores pseudoaleatorios, etc).
OpenSSL sufrió también una grave vulnerabilidad descubierta a principios de septiembre y que permitía la falsificación de firmas RSA, después de casi un año (octubre de 2005) sin actualizaciones por problemas de seguridad, y casi tres (octubre de 2003) sin errores graves. En esta ocasión los fallos, calificados como de criticidad alta, son:
A la hora de interpretar ciertas estructuras ASN.1 inválidas, no se maneja adecuadamente una condición de error. Esto termina en un bucle infinito que consume la memoria del sistema. Se ve afectado cualquier código que utilice OpenSSL para interpretar datos ASN.1 desde fuentes no confiables. Esto incluye servidores SSL que activen la autenticación de clientes y aplicaciones S/MIME. Esto no afecta a versiones anteriores a la 0.9.7.
Existe un desbordamiento de memoria intermedia en la función SSL_get_shared_ciphers, utilizada por exim y mysql, por ejemplo. Un atacante podría enviar datos que harían que la memoria se desbordara.
Existe una posible denegación de servicio en el código de cliente SSLv2. Si una aplicación cliente utiliza OpenSSL para realizar una conexión SSLv2 a un servidor especialmente manipulado, este servidor podría hacer que el cliente dejase de responder.
Por último, ciertos tipos de clave pública pueden tomar demasiado tiempo de computación. Esto puede ser usado por atacantes para provocar una denegación de servicio.
Se recomienda actualizar a 0.9.7l o posterior para la rama OpenSSL 0.9.7.
Se recomienda actualizar a 0.9.8d o posterior para la rama OpenSSL 0.9.8.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…