Descargar
07-2015 Nueva vulnerabilidad crítica en OpenSSL Llega una nueva vulnerabilidad crítica en OpenSSL. Una vez más el problema podría facilitar a un atacante remoto la realización de ataques de hombre en el medio, y poder escuchar el tráfico de conexiones seguras. El pasado lunes el equipo del proyecto OpenSSL anunció la publicación de una nueva versión de OpenSSL para corregir una vulnerabilidad calificada como de gravedad "alta". Este anuncio creó cierta expectación que rápidamente quedó eclipsada por las informaciones relacionadas con el Hacking Team. Todas las incógnitas sobre el problema han quedado resueltas. Tal y como anunció, el proyecto OpenSSL ha publicado una actualización para esta nueva vulnerabilidad de falsificación de cadenas de certificados alternativos, identificada con CVE-2015-1793. La vulnerabilidad está relacionada con el proceso de verificación de certificados. Durante la verificación de certificados si falla el primer intento de construir la cadena de certificados, OpenSSL (desde versiones 1.0.1n y 1.0.2b) intentará encontrar una cadena de certificados alternativa. Sin embargo, un error en la implementación puede permitir a un atacante evitar la comprobación de determinados controles (como la bandera de CA) en certificados no confiables. Esto puede permitir a un certificado de usuario válido actuar como certificado de CA y emitir certificados, que aunque no sean válidos, serán aceptados como confiables por el sitio afectado. Este problema afecta a cualquier aplicación que verifique certificados incluyendo clientes SSL, TLS y DTLS y servidores SSL, TLS y DTLS que usen autenticación de clientes. Afecta a las versiones 1.0.2c, 1.0.2b, 1.0.1n y 1.0.1o de OpenSSL. Actualizan OpenSSL vulnerabilidad crítica para solucionar la La vulnerabilidad fue descubierta por Adam Langley y David Benjamin del proyecto Google BoringSSL, la implementación propia que Google hizo de OpenSSL. El tema a ser parcheado afecta a los 1.0.1 y 1.0.2 versiones de OpenSSL. Estos son los comunicados de la biblioteca que soportan TLS v1.1 y TLS v1.2, las nuevas versiones del protocolo. Es recomendable actualizar a 1.0.2d y 1.0.1p respectivamente. La vulnerabilidad no afecta a la serie 1.0.0 o 0.9.8 @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected] 07-2015 Nueva vulnerabilidad crítica en OpenSSL ¿CÓMO PUEDO ACTUALIZAR MI SERVIDOR/EQUIPO? Si tienes un servidor con Ubuntu Server, Debian, CentOS, RedHat u openSuSE, desde la distribución correspondiente pondrán a tu disposición el paquete para que lo actualices utilizando los repositorios oficiales. No obstante, si no quieres esperar (suelen ser muy rápidos para este tipo de problemas) puedes descargar el paquete oficial desde la web del proyecto y realizar la correspondiente instalación. A continuación encontrarás la orden a utilizar para actualizar la distribución, y que de esa forma , en el momento que esté disponible la última versión en los repositorios, podrás completar dicha actualización. UBUNTU SERVER Y DEBIAN CENTOS Y REDHAT OPENSUSE El mantener al día los paquetes del sistema nos ayuda a proteger nuestras máquinas, reduciendo así los posibles problemas de seguridad que puedan surgir. Fuente: http://unaaldia.hispasec.com/2015/05/diversas-vulnerabilidades-en-php.html @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected]
© Copyright 2024