Se han descubierto graves vulnerabilidades en las versiones 0.9.6d y
0.9.7-beta2 (y anteriores) de OpenSSL,
por lo que se recomienda la actualización urgente.
OpenSSL es una implementación libre y abierta de los protocolos
SSL v2/v3 (Secure Sockets Layer) y TLS v1 (Transport Layer Security),
ampliamente utilizados en Internet, sobretodo en todo el tema de
transacciones seguras …
En total han sido 4 problemas, que han sido referenciados en el CVE como:
CAN-2002-0656,
CAN-2002-0655 y
CAN-2002-0657, como podeís ver, esto del CVE, es realmente útil y eficaz 😉
- CAN-2002-0656:
Buffer overflows in OpenSSL 0.9.6d and earlier, and 0.9.7-beta2 and
earlier, allow remote attackers to execute arbitrary code via (1) a large
client master key in SSL2 or (2) a large session ID in SSL3. - CAN-2002-0655:
OpenSSL 0.9.6d and earlier, and 0.9.7-beta2 and earlier,
does not properly handle ASCII representations of integers on 64 bit platforms,
which could allow attackers to cause a denial of service and possibly
execute arbitrary code. - CAN-2002-0657:
Buffer overflow in OpenSSL 0.9.7 before 0.9.7-beta3, with
Kerberos enabled, allows attackers to execute arbitrary code via a long master
key.
Podeís bajaros el código fuente de alguno de los mirror que encontrareís en
http://www.openssl.org/source/, aunque yo os recomiendo que os paseís
por la web de vuestra distribución y os bajeís directamente el paquete o
paquetes que esten relacionados con el OpenSSL. Puesto que, por
ejemplo, el propio Apache esta directamente relacionado,
al ser habitual el tenerlo compilado con soporte para OpenSSL.
OpenSSL:
http://www.openssl.org
Mirrors para la descarga:
http://www.openssl.org/source/
—
$ alias carcoco=”echo Carlos Cortes”
http://bulma.net/todos.phtml?id_autor=132
Este post ha sido traido de forma automatica desde https://web.archive.org/web/20140625063149/http:/bulma.net/body.phtml?nIdNoticia=1429 por un robot nigromante, si crees que puede mejorarse, por favor, contactanos.