[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
BoletÃn de Seguridad UNAM-CERT 2004-004
Múltiples vulnerabilidades en OpenSSL
----------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletÃn donde
informan sobre varias vulnerabilidades en la biblioteca SSL/TLS de
OpenSSL que podrÃan permitir a un intruso remoto, no autenticado,
provocar un ataque del tipo Negación de Servicio.
Fecha de Liberación: 18 de Marzo de 2004
Ultima Revisión: ---
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, asà como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
==================
* Aplicaciones y sistemas que usan la biblioteca SSL/TLS de
OpenSSL I.
I. DESCRIPCIÃ?N
==============
OpenSSL implemtenta los protocolos Secure Sockets Layer (SSL) y
Transport Layer Security (TLS) e incluye una biblioteca
criptográfica de propósito general. SSL y TLS son comúnmente usadas
para proporcionar servicios de autenticación, encripción, integridad
y no repudio para aplicaciones de red como HTTP, IMAP, POP3, STP y
LDAP. OpenSSL es ampliamente utilizado entre una diversidad de
plataformas y sistemas. En particular, muchos ruteadores y otros
tipos de equipo de red usan OpenSSL.
El National Infrastructure Security Co-ordination Centre (NISCC) del
Reino Unido y el OpenSSL Project han reportado tres vulnerabilidades
en la biblioteca SSL/TLS de OpenSSL (libssl). Cualquier aplicación o
sistema que usa esta biblioteca podrÃa ser afectado.
VU#288574 - OpenSSL contiene asignación a un apuntador nulo en la
función do_change_cipher_spec()
Las versiones de OpenSSL desde la 0.9.6c a la 0.9.6k y de la 0.9.7a
a la 0.9.7c contienen una asignación a un apuntador nulo en la
función do_change_cipher_spec(). Realizando un "handshake" SSL/TLS
diseñado especialmente, un intruso podrÃa provocar que OpenSSL
falle, lo que puede resultar en una negación de servicio en la
aplicación destino.
(Otras fuentes: OpenSSL Security Advisory (1.), CAN-2004-0079,
NISCC/224012/OpenSSL/1)
VU#484726 - OpenSSL no valida adecuadamente la longitud de los
tickets de Kerberos durante el inicio de negociacion de inicio de
sesion (handshake) SSL/TLS.
Las versiones 0.9.7a, 0.9.7b y 0.9.7c de OpenSSL no validan
adecuadamente la longitud de los tickets de Kerberos durante el
inicio de negociacion de inicio de sesion (handshake) SSL/TLS.
OpenSSL no está configurado para usar Kerberos de manera
predeterminada. Realizando un handshake SSL/TLS especialmente
diseñado con un sistema OpenSSL configurado para usar Kerberos, un
intruso podrÃa provocar que falle OpenSSL, lo cual puede resultar en
una negación de servicio en la aplicación destino. OpenSSL 0.9.6 no
es afectado.
(Otras fuentes: OpenSSL Security Advisory (2.), CAN-2004-0112,
NISCC/224012/OpenSSL/2)
VU#465542 - OpenSSL no maneja propiamente el tipo de mensajes
desconocidos.
La versión anterior a OpenSSL 0.9.6d no maneja apropiadamente los
tipos de mensajes desconocidos de SSL/TLS. Un intruso podrÃa causar
que la aplicación entre en un loop infinito, el cual puede resultar
en una negación de servicio. La versión OpenSSL 0.9.7 no es afectada.
(Otras fuentes: CAN-2004-0081, NISCC/224012/OpenSSL/3)
II. Impacto.
============
Un intruso remoto no autenticado podrÃa causar una negación de
servicio en cualquier aplicación o sistema que utilice las
bibliotecas de OpenSSL SSL/TLS.
III. Solución.
==============
* Actualizar o aplicar el parche correspondiente
Actualizar a OpenSSL 0.9.6m o 0.9.7d. Alternativamente, actualizar o
aplicar un parche que especifique su distribuidor. Es importante
mencionar que se necesita recompilar las aplicaciones que estén
estáticamente ligadas a las bibliotecas de OpenSSL SSL/TLS.
Apéndice A*. Información de distribuidores
==========================================
Varios fabricantes son afectados por diferentes combinaciones de
estas vulnerabilidades.
Para información reciente, favor de ver la sección de Sistemas
Afectados VU#288574, VU#484726 y VU#465542.
Apendice B. Referencias.
=========================
US-CERT Technical Cyber Security Alert TA04-078A -
http://www.us-cert.gov/cas/techalerts/TA04-078A.html
Nota de vulnerabilidad VU#288574 -
http://www.kb.cert.org/vuls/id/288574
Nota de vulnerabilidad VU#484726 -
http://www.kb.cert.org/vuls/id/484726
Nota de vulnerabilidad VU#465542 -
http://www.kb.cert.org/vuls/id/465542
BoletÃn de seguridad OpenSSL [17 March 2004] -
http://www.openssl.org/news/secadv_20040317.txt
BoletÃn de seguridad NISCC 224012 -
http://www.uniras.gov.uk/vuls/2004/224012/index.htm
RFC 2712 <http://www.cis.ohio-state.edu/rfc/rfc2712.txt> Suites
adicionales de cifrado de Kerberos a la capa de transporte Security
(TLS) - http://www.ietf.org/rfc/rfc2712.txt
Estas vulnerabilidades fueron investigadas y reportadas por el
Proyecto OpenSSL y el Centro de Coordinación Nacional de
Infraestructura de Seguridad (NISCC).
------------------------------------------------------------------------
Autores de la versión original: Art Manion y Damon Morda.
------------------------------------------------------------------------
El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo
en la elaboración, revisión y traducción de éste boletÃn a:
* Sergio Alavez Miguel (salavez en seguridad unam mx)
* Rubén Aquino Luna (raquino en seguridad unam mx)
------------------------------------------------------------------------
INFORMACIÃ?N
===========
Ã?ste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.us-cert.gov/cas/techalerts/TA04-078A.html
La versión en español del documento se encuentra disponible en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-004.html
Para mayor información acerca de éste boletÃn de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQFpjbHAvLUtwgRsVAQE6ZggAs/YJK+jzLrmu78zZfdwItyjdjkcll6TG
FFXT0sguDRL0C3mw1D2TJi7Jqf21aZ3lyq3s85iApjfmMX/4SzlUUaXYfVb+07Zj
ZpKS/ZHH9yawesBR7KfgMWFri91FnWs42jHsS8LF+yjYZKNJIaOUna4pEANQEugT
4JSuBpErtfVO3ME1CGI3RPVCpzYCrxueFOcqN2v4hCdt2Mjq0lHnHTXPiqTlT3hB
hlbN+WOqOzGdOZg/yaDDxIjGb9fF128Ik3Iay+yzNXhrjLsJP4lQExnn+4fRxhhY
RuWIwzejKM+BZHMWpUApnA3LF3otDlPsx5whnbTgiTqX7OERVqeXBA==
=QBc9
-----END PGP SIGNATURE-----
Lista de correo linux en opensource org mx
Preguntas linux-owner en opensource org mx
http://www.opensource.org.mx/