OpenSSL 1.0.0e soluciona dos vulnerabilidades

OpenSSL es un proyecto para desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3), de los protocolos de seguridad en la capa de transporte (TLS v1) así como de una librería criptográfica de propósito general.

La primera de las vulnerabilidades corregidas, identificada como CVE-2011-3207, es un error al validar CRL.

Este fallo permite a un atacante validar como correcto un certificado especialmente diseñado, por ejemplo haciendo uso de X509_V_FLAG_CRL_CHECK o X509_V_FLAG_CRL_CHECK_ALL.

El segundo fallo solucionado es un error en ‘ephemeral ECDH ciphersuites’, que permite provocar una denegación de servicio a través de peticiones en un orden incorrecto. Como contramedida se puede desactivar ‘ephemeral ECDH ciphersuites’. Este fallo se ha identificado con el CVE-2011-3210.

Fuente: laflecha, seguridadpc.net

Comparte esto en:

Tags: , , , , , ,

Deja un Comentario