gustavofrazao - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

OpenSSL soluciona cuatro de sus vulnerabilidades

Tres vulnerabilidades de impacto medio y una de impacto bajo son solucionadas con las nuevas versiones de OpenSSL.

OpenSSL es un desarrollo de fuente abierta (open source) que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc). 
El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir cuatro vulnerabilidades, tres calificadas de impacto medio y otra de importancia baja. 
El primer problema afecta a clientes o servidores SSL/TLS en sistemas de 32bits cuando se usa un cifrado específico, entonces un paquete truncado puede provocar una lectura fuera de límites en ese servidor o cliente. 
Otra vulnerabilidad de gravedad media afecta a OpenSSL 1.1.0 si un servidor malicioso suministra parámetros incorrectos para un intercambio de claves DHE o ECDHE, puede provocar una referencia de puntero nulo en el cliente con la consiguiente caída. Un usuario malicioso podría provocar condiciones de denegación de servicio. 
Otra vulnerabilidad de gravedad media reside en un error de propagación de acarreo en BN_mod_exp(), el cual puede permitir obtener cierta información sobre claves privadas en determinadas circunstancias. Se ven afectados sistemas configurados con parámetros DH persistentes y que compartan claves privadas entre múltiples clientes. 
Por último, de gravedad baja, las multiplicaciones Montgomery pueden producir resultados incorrectos. El problema fue corregido anteriormente en la versión 1.1.0c, por lo que solo afecta a versiones OpenSSL 1.0.2. 
OpenSSL ha publicado las versiones 1.1.0d y 1.0.2k, que solucionan estas vulnerabilidades, disponibles desde su sitio web

Investigue más sobre Linux para la empresa

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close