- Importancia:
- 3 – Media
- Fecha de publicación:
- 04/12/2015
Recursos afectados
Las siguientes versiones de OpenSSL se ven afectadas por una o varias de estas vulnerabilidades:
- OpenSSL 1.0.2
- OpenSSL 1.0.1
- OpenSSL 1.0.0
- OpenSSL 0.9.8
Descripción
Se han publicado varias vulnerabilidades en OpenSSL.
Solución
- 0.9.8zh
- 1.0.0t
- 1.0.1q
- 1.0.2e
Detalle
BN_mod_exp puede producir resultados incorrectos en x86_64
Aunque la cantidad de recursos necesarios puede ser elevada, es posible realizar ataques sobre DH para deducir información sobre la clave privada. Los algoritmos de curva elíptica no están afectados.
Se ha reservado el identificador CVE-2015-3193 para esta vulnerabilidad
Denegación de servicio en la verificación de certificados sin el parámetro PSS
Es posible causar una DoS con una referencia a puntero nulo si se presenta una firma ASN.1 utilizando RSA PSS sin el parámetro de generación de máscara.
Se ha reservado el identificador CVE-2015-3194 para esta vulnerabilidad
Memory leak en el atributo X509_ATTRIBUTE
Utilizando una estructura X509_ATTRIBUTE malformada, OpenSSL producirá una fuga de memoria. SSL/TLS no está afectado.
Se ha reservado el identificador CVE-2015-3195 para esta vulnerabilidad
Condición de carrera manejando PSK identity hints
Si se reciben PSK Identity hints en un cliente multihilo los valores se actualizan incorrectamente en la estructura SSL_CTX padre, creando una condición de carrera que podría derivar en una vulnerabilidad de double free.
Se ha reservado el identificador CVE-2015-3196 para esta vulnerabilidad
