Actualización de la librería OpenSSLv

El proyecto OpenSSL ha publicado actualizaciones para las ramas 0.9.6 y
0.9.7 de su librería SSL, que solucionan dos ataques de denegación de
servicio (DoS).

La librería OpenSSL es un desarrollo “Open Source” que implementa los

protocolos SSL y TLS, y que es utilizada por multitud de programas,

tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para

emplear sus componentes criptográficos individuales (funciones de

cifrado y “hash”, generadores de claves, generadores pseudoaleatorios,

etc).

Las versiones no actualizadas de OpenSSL son susceptibles a

dos ataques de denegación de servicio (DoS) que permiten que un atacante

remoto “mate” el proceso que esté usando la librería SSL. Las dos

vulnerabilidades son:

-Un atacante malicioso puede forzar una

negociación SSL/TLS especialmente manipulada para inducir un bug en la

librería OpenSSL, provocando el uso de un puntero “NULL”, ilegal.

-Cuando se usan autentificaciones Kerberos, un atacante remoto podría forzar

una negociación SSL/TLS especialmente manipulada para inducir un bug en

el código Kerberos de la librería, provocando la caída del servicio.

La recomendación de Hispasec es actualizar a la versión 0.9.6m o 0.9.7d de la

librería OpenSSL.