Esto se refiere a vulnerabilidades que puede permitir a los atacantes remotos provocar una denegación de servicio, una gran cantidad de memoria del servidor puede tener fugas o un atacante podría ejecutar código arbitrario de forma remota.
The OpenSSL project team would like to announce the forthcoming release of OpenSSL versions 1.0.2d and 1.0.1p. These releases will be made available on 9th July. They will fix a single security defect classified as "high" severity. This defect does not affect the 1.0.0 or 0.9.8 releases.
Cual será exactamente el remedio no ha sido anunciado ni publicado po OpenSSL, que es uno de los software más utilizado para el cifrado de las conexiones a Internet, por ejemplo, entre los sitios web y sus visitantes.
En abril del año pasado el bug Heart Bleed, fue un error muy grave descubierto en OpenSSL, permitiendo a los atacantes robar la información remota de la memoria de los servidores Web para robar, por ejemplo contraseñas. La actualización estará disponible a partir del jueves 9 de julio.
CVE-2015-1793
Actualización 9 julio:
Parche ya disponible y algo más de la explicación de la vulnerabilidad
Severity: High
During certificate verification, OpenSSL (starting from version 1.0.1n and
1.0.2b) will attempt to find an alternative certificate chain if the first
attempt to build such a chain fails. An error in the implementation of this
logic can mean that an attacker could cause certain checks on untrusted
certificates to be bypassed, such as the CA flag, enabling them to use a valid
leaf certificate to act as a CA and "issue" an invalid certificate.
No hay comentarios:
Publicar un comentario