[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- -------------------------------------------------------------------- UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM BoletÃn de Seguridad UNAM-CERT 2004-004 Múltiples vulnerabilidades en OpenSSL ---------------------------------------------------------------------- El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletÃn donde informan sobre varias vulnerabilidades en la biblioteca SSL/TLS de OpenSSL que podrÃan permitir a un intruso remoto, no autenticado, provocar un ataque del tipo Negación de Servicio. Fecha de Liberación: 18 de Marzo de 2004 Ultima Revisión: --- Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, asà como Foros y Listas de Discusión. SISTEMAS AFECTADOS ================== * Aplicaciones y sistemas que usan la biblioteca SSL/TLS de OpenSSL I. I. DESCRIPCIÃ?N ============== OpenSSL implemtenta los protocolos Secure Sockets Layer (SSL) y Transport Layer Security (TLS) e incluye una biblioteca criptográfica de propósito general. SSL y TLS son comúnmente usadas para proporcionar servicios de autenticación, encripción, integridad y no repudio para aplicaciones de red como HTTP, IMAP, POP3, STP y LDAP. OpenSSL es ampliamente utilizado entre una diversidad de plataformas y sistemas. En particular, muchos ruteadores y otros tipos de equipo de red usan OpenSSL. El National Infrastructure Security Co-ordination Centre (NISCC) del Reino Unido y el OpenSSL Project han reportado tres vulnerabilidades en la biblioteca SSL/TLS de OpenSSL (libssl). Cualquier aplicación o sistema que usa esta biblioteca podrÃa ser afectado. VU#288574 - OpenSSL contiene asignación a un apuntador nulo en la función do_change_cipher_spec() Las versiones de OpenSSL desde la 0.9.6c a la 0.9.6k y de la 0.9.7a a la 0.9.7c contienen una asignación a un apuntador nulo en la función do_change_cipher_spec(). Realizando un "handshake" SSL/TLS diseñado especialmente, un intruso podrÃa provocar que OpenSSL falle, lo que puede resultar en una negación de servicio en la aplicación destino. (Otras fuentes: OpenSSL Security Advisory (1.), CAN-2004-0079, NISCC/224012/OpenSSL/1) VU#484726 - OpenSSL no valida adecuadamente la longitud de los tickets de Kerberos durante el inicio de negociacion de inicio de sesion (handshake) SSL/TLS. Las versiones 0.9.7a, 0.9.7b y 0.9.7c de OpenSSL no validan adecuadamente la longitud de los tickets de Kerberos durante el inicio de negociacion de inicio de sesion (handshake) SSL/TLS. OpenSSL no está configurado para usar Kerberos de manera predeterminada. Realizando un handshake SSL/TLS especialmente diseñado con un sistema OpenSSL configurado para usar Kerberos, un intruso podrÃa provocar que falle OpenSSL, lo cual puede resultar en una negación de servicio en la aplicación destino. OpenSSL 0.9.6 no es afectado. (Otras fuentes: OpenSSL Security Advisory (2.), CAN-2004-0112, NISCC/224012/OpenSSL/2) VU#465542 - OpenSSL no maneja propiamente el tipo de mensajes desconocidos. La versión anterior a OpenSSL 0.9.6d no maneja apropiadamente los tipos de mensajes desconocidos de SSL/TLS. Un intruso podrÃa causar que la aplicación entre en un loop infinito, el cual puede resultar en una negación de servicio. La versión OpenSSL 0.9.7 no es afectada. (Otras fuentes: CAN-2004-0081, NISCC/224012/OpenSSL/3) II. Impacto. ============ Un intruso remoto no autenticado podrÃa causar una negación de servicio en cualquier aplicación o sistema que utilice las bibliotecas de OpenSSL SSL/TLS. III. Solución. ============== * Actualizar o aplicar el parche correspondiente Actualizar a OpenSSL 0.9.6m o 0.9.7d. Alternativamente, actualizar o aplicar un parche que especifique su distribuidor. Es importante mencionar que se necesita recompilar las aplicaciones que estén estáticamente ligadas a las bibliotecas de OpenSSL SSL/TLS. Apéndice A*. Información de distribuidores ========================================== Varios fabricantes son afectados por diferentes combinaciones de estas vulnerabilidades. Para información reciente, favor de ver la sección de Sistemas Afectados VU#288574, VU#484726 y VU#465542. Apendice B. Referencias. ========================= US-CERT Technical Cyber Security Alert TA04-078A - http://www.us-cert.gov/cas/techalerts/TA04-078A.html Nota de vulnerabilidad VU#288574 - http://www.kb.cert.org/vuls/id/288574 Nota de vulnerabilidad VU#484726 - http://www.kb.cert.org/vuls/id/484726 Nota de vulnerabilidad VU#465542 - http://www.kb.cert.org/vuls/id/465542 BoletÃn de seguridad OpenSSL [17 March 2004] - http://www.openssl.org/news/secadv_20040317.txt BoletÃn de seguridad NISCC 224012 - http://www.uniras.gov.uk/vuls/2004/224012/index.htm RFC 2712 <http://www.cis.ohio-state.edu/rfc/rfc2712.txt> Suites adicionales de cifrado de Kerberos a la capa de transporte Security (TLS) - http://www.ietf.org/rfc/rfc2712.txt Estas vulnerabilidades fueron investigadas y reportadas por el Proyecto OpenSSL y el Centro de Coordinación Nacional de Infraestructura de Seguridad (NISCC). ------------------------------------------------------------------------ Autores de la versión original: Art Manion y Damon Morda. ------------------------------------------------------------------------ El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración, revisión y traducción de éste boletÃn a: * Sergio Alavez Miguel (salavez en seguridad unam mx) * Rubén Aquino Luna (raquino en seguridad unam mx) ------------------------------------------------------------------------ INFORMACIÃ?N =========== Ã?ste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.us-cert.gov/cas/techalerts/TA04-078A.html La versión en español del documento se encuentra disponible en: http://www.seguridad.unam.mx http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-004.html Para mayor información acerca de éste boletÃn de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : unam-cert en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQFpjbHAvLUtwgRsVAQE6ZggAs/YJK+jzLrmu78zZfdwItyjdjkcll6TG FFXT0sguDRL0C3mw1D2TJi7Jqf21aZ3lyq3s85iApjfmMX/4SzlUUaXYfVb+07Zj ZpKS/ZHH9yawesBR7KfgMWFri91FnWs42jHsS8LF+yjYZKNJIaOUna4pEANQEugT 4JSuBpErtfVO3ME1CGI3RPVCpzYCrxueFOcqN2v4hCdt2Mjq0lHnHTXPiqTlT3hB hlbN+WOqOzGdOZg/yaDDxIjGb9fF128Ik3Iay+yzNXhrjLsJP4lQExnn+4fRxhhY RuWIwzejKM+BZHMWpUApnA3LF3otDlPsx5whnbTgiTqX7OERVqeXBA== =QBc9 -----END PGP SIGNATURE----- Lista de correo linux en opensource org mx Preguntas linux-owner en opensource org mx http://www.opensource.org.mx/