Avisos 26 de April, 2012

Actualització d'OpenSSL (Actualitzat 25/4/2012)

S'ha publicat una actualització per OpenSSL, la llibreria criptogràfica de fonts oberts en què es basen múltiples productes per implementar algorismes de xifrat de clau asimètrica. L'actualització soluciona una vulnerabilitat de desbordament de memòria intermèdia que un atacant podria aprofitar per a provocar una denegació de servei remota i possiblement executar codi arbitrari.

Recursos afectats:
OpenSSL 0.x anteriors a 0.9.8.v
OpenSSL 1.0.0 anteriors a 1.0.0i
OpenSSL 1.0.1 anteriors a 1.0.1a

NOTA: El codi SSL / TLS d'OpenSSL no està afectat, el que significa que OpenSSH no és vulnerable.
 

Denegació de servei, i possible execució remota de codi.


Solució:

El fabricant ha publicat actualitzacions i pegats que solucionen la vulnerabilitat. Es recomana actualitzar a l'última versió que correspongui per branca: 1.0.1a, 1.0.0i o 0.9.8v.
 
Actualització 25/4/2012: el fabricant ha publicat un avís de seguretat actualitzat, indicant que el pegat publicat el 19 d'abril no era suficient per corregir la vulnerabilitat CVE-2012-2110 a les versions 0.9.8. Amb la finalitat de solucionar totalment la vulnerabilitat, s'ha alliberat una altra versió d'aquesta branca (0.9.8w).


Detall:

Publicat a: Avisos
Tags: OpenSSL