Se han descubierto graves vulnerabilidades en las versiones 0.9.6d y
0.9.7-beta2 (y anteriores) de OpenSSL,
por lo que se recomienda la actualización urgente.
OpenSSL es una implementación libre y abierta de los protocolos
SSL v2/v3 (Secure Sockets Layer) y TLS v1 (Transport Layer Security),
ampliamente utilizados en Internet, sobretodo en todo el tema de
transacciones seguras …

En total han sido 4 problemas, que han sido referenciados en el CVE como:

CAN-2002-0656,

CAN-2002-0655 y

CAN-2002-0657, como podeís ver, esto del CVE, es realmente útil y eficaz 😉

• CAN-2002-0656:
  Buffer overflows in OpenSSL 0.9.6d and earlier, and 0.9.7-beta2 and
  earlier, allow remote attackers to execute arbitrary code via (1) a large
  client master key in SSL2 or (2) a large session ID in SSL3.

• CAN-2002-0655:
  OpenSSL 0.9.6d and earlier, and 0.9.7-beta2 and earlier,
  does not properly handle ASCII representations of integers on 64 bit platforms,
  which could allow attackers to cause a denial of service and possibly
  execute arbitrary code.

• CAN-2002-0657:
  Buffer overflow in OpenSSL 0.9.7 before 0.9.7-beta3, with
  Kerberos enabled, allows attackers to execute arbitrary code via a long master
  key.

Podeís bajaros el código fuente de alguno de los mirror que encontrareís en

http://www.openssl.org/source/, aunque yo os recomiendo que os paseís
por la web de vuestra distribución y os bajeís directamente el paquete o
paquetes que esten relacionados con el OpenSSL. Puesto que, por
ejemplo, el propio Apache esta directamente relacionado,
al ser habitual el tenerlo compilado con soporte para OpenSSL.

OpenSSL:

http://www.openssl.org

Mirrors para la descarga:

http://www.openssl.org/source/

—
$ alias carcoco=”echo Carlos Cortes”

http://bulma.net/todos.phtml?id_autor=132

Este post ha sido traido de forma automatica desde https://web.archive.org/web/20140625063149/http:/bulma.net/body.phtml?nIdNoticia=1429 por un robot nigromante, si crees que puede mejorarse, por favor, contactanos.