Avisos 23 de April, 2012

Actualització d'OpenSSL

La llibreria criptogràfica de fonts oberts en que es basen múltiples productes per implementar algorismes de xifrat de clau asimètrica. L'actualització soluciona una vulnerabilitat de desbordament de memòria intermèdia que un atacant podria aprofitar per a provocar una denegació de servei remota i possiblement executar codi arbitrari.

Recursos afectats:
OpenSSL 0.x anteriors a 0.9.8.v
 OpenSSL 1.0.0 anteriors a 1.0.0i
 OpenSSL 1.0.1 anteriors a 1.0.1a

Impacte: Denegació de servei, i possible execució remota de codi.

Solució: El fabricant ha publicat actualitzacions i pegats que solucionen la vulnerabilitat. Es recomana actualitzar a l'última versió que correspongui per branca: 1.0.1a, 1.0.0i o 0.9.8v.

Detall:

La vulnerabilitat resideix en la funció asn1_d2i_read_bio, i afecta principalment al tractament de contingut de tipus S/MIME. Qualsevol aplicació que utilitzi funcions basades en BIO o FILE per llegir dades en format DER no fiables, és vulnerable.
 
Les aplicacions que usen les funcions de tipus ASN1 basades en memòria (d2i_X509, d2i_PKCS12, etc.) No es veuen afectades, així com tampoc les que utilitzin rutines PEM. En concret el codi pel tractament del protocol SSL/TLS no es veu afectat.
 
Un atacant remot, sense necessitat d'autenticació, podria explotar la vulnerabilitat mitjançant certificats X.509 o claus RSA públiques especialment manipulades.
 
Identificador CVE per a la vulnerabilitat corregida: CVE-2012-2110
 
 
 
Referències:

 Avís de seguretat del fabricant.
 http://www.openssl.org/news/secadv_20120419.txt

 Anàlisi detallat de l'investigador original.
 http://lists.grok.org.uk/pipermail/full-disclosure/2012-April/086585.html

Publicat a: Avisos