OpenSSL tiene una vulnerabilidad que permite la ejecución de código arbitrario o una negación de servicio.
OpenSSL es una caja de herramientas Open Source que implementa Secure Socket Layer (SSL v2/v3) y Transport Layer Security (TLS v1) así como bibliotecas de criptografía de propósito general.
|
| Fecha de Liberación: |
31 de Octubre de 2007 |
| Ultima Revisión: |
31 de Octubre de 2007 |
| Fuente: |
Gentoo Linux Security Advisory |
| CVE ID: |
CVE-2007-4995
|
|
Sistemas Afectados
|
Sistemas No Afectados
|
|
Riesgo
Alto
|
Problema de Vulnerabilidad
Remoto
|
Tipo de Vulnerabilidad
Ejecución remota de código y negación de servicio
|
|
Descripción
Andy Polyakov reportó una vunerabilidad en OpenSSL, que es causada debido a un error de "off-by-one" dentro de la implementación DTLS.
Impacto
Un atacante remoto puede explotar esta vulnerabilidad para ejecutar código arbitrario o causar una negación de servicio. Únicamente en el caso que los clientes y servidores utilizan DTLS, en sistemas que usan SSL y TLS no está presente esta vulnerabilidad.
Solución
Actualizar a la última versión.
Referencias
http://www.gentoo.org/security/en/glsa/glsa-200710-30.xml
|
El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en
la elaboración ó traducción y revisión de éste Documento a:
- Vicente Hernández Jiménez (bec_vhernandez at correo dot seguridad dot unam dot mx)
- Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)
|
