segunda-feira , 20 de novembro de 2017
Últimos Posts
Capa / Principal / Dicas / OpenSSL – Vulnerabilidade precisa de update
OpenSSL – Vulnerabilidade precisa de update

OpenSSL – Vulnerabilidade precisa de update

OpenSSL – Vulnerabilidade precisa de update

OpenSSL é um projeto open source robusto, que utiliza os protocolos SSL e TLS. Disponível para a maioria dos sistemas do tipo Unix, incluindo Linux, Mac OS X, as quatro versões do BSD de código aberto e também para o Microsoft Windows. O OpenSSL é baseado no SSLeay de Eric Young e Tim Hudson.

Foram identificados 8 vulnerabilidades. O Projeto OpenSSL já disponibilizou os patchs com as devidas correções. Das 8 vulnerabilidades encontradas, 6 são classificadas como baixa e duas como moderadas, podendo até sofrer ataques de negação de serviços(DoS), que nada mais é do que uma tentativa de tornar os serviços indisponíveis para seus usuários, normalmente executado em servidores web.

Vulnerabilidades:

1- DTLS falha de segmentação em dtls1_get_record (CVE-2014-3571):

Gravidade: Moderada

Uma mensagem DTLS cuidadosamente trabalhada pode causar uma falha de segmentação no OpenSSL devido a um dereference ponteiro NULL. Isto poderia levar a um ataque de negação de serviço.

Esse problema afeta todas as versões do OpenSSL atuais: 1.0.1, 1.0.0 e 0.9.8.

OpenSSL 1.0.1 DTLS os usuários devem atualizar para 1.0.1k.
OpenSSL 1.0.0 DTLS os usuários devem atualizar para 1.0.0p.
OpenSSL 0.9.8 DTLS os usuários devem atualizar para 0.9.8zd.

2- Vazamento de memória DTLS em dtls1_buffer_record (CVE-2015-0206)

Gravidade: Moderada

Um vazamento de memória pode ocorrer na função dtls1_buffer_record sob certas condições. Em particular, isto poderia ocorrer se um invasor enviar repetido DTLS registros com o mesmo número de seqüência, mas para a próxima época. O vazamento de memória pode ser explorada por um atacante em um ataque de negação de serviço através da memória exaustão.

Esse problema afeta as versões do OpenSSL: 1.0.1 e 1.0.0.

OpenSSL 1.0.1 DTLS os usuários devem atualizar para 1.0.1k.
OpenSSL 1.0.0 DTLS os usuários devem atualizar para 1.0.0p.

3- no-SSL3 método conjuntos de configurações para NULL (CVE-2014-3569)

Gravidade: baixa

Quando openssl é construído com a opção sem SSL3 e um ClientHello v3 SSL é recebeu o método SSL seria definido como NULL, que mais tarde poderiam resultar em um dereference ponteiro NULL.

Esse problema afeta todas as versões do OpenSSL atuais: 1.0.1, 1.0.0 e 0.9.8.

OpenSSL 1.0.1 os usuários devem atualizar para 1.0.1k.
OpenSSL 1.0.0 os usuários devem atualizar para 1.0.0p.
OpenSSL 0.9.8 os usuários devem atualizar para 0.9.8zd.

4- ECDHE silenciosamente downgrades para ECDH [Cliente] (CVE-2014-3572)

Gravidade: baixa

Um cliente de OpenSSL aceitará um aperto de mão usando um ciphersuite ECDH efémero usando um certificado ECDSA se a mensagem de troca de chave do servidor é omitido. Este efetivamente remove o segredo para a frente do ciphersuite.

Esse problema afeta todas as versões do OpenSSL atuais: 1.0.1, 1.0.0 e 0.9.8.

OpenSSL 1.0.1 os usuários devem atualizar para 1.0.1k.
OpenSSL 1.0.0 os usuários devem atualizar para 1.0.0p.
OpenSSL 0.9.8 os usuários devem atualizar para 0.9.8zd.

5- RSA silenciosamente downgrades para EXPORT_RSA [Cliente] (CVE-2015-0204)

Gravidade: baixa

Um cliente de OpenSSL aceitará o uso de uma chave temporária RSA em um não-exportação RSA ciphersuite troca de chaves. Um servidor pode apresentar uma chave temporária fraco e degradar a segurança da sessão.

Esse problema afeta todas as versões do OpenSSL atuais: 1.0.1, 1.0.0 e 0.9.8.

OpenSSL 1.0.1 os usuários devem atualizar para 1.0.1k.
OpenSSL 1.0.0 os usuários devem atualizar para 1.0.0p.
OpenSSL 0.9.8 os usuários devem atualizar para 0.9.8zd.

6- Certificados de cliente DH admitidos sem verificação [servidor] (CVE-2015-0205)

Gravidade: baixa

Um servidor OpenSSL irá aceitar um certificado de DH para autenticação do cliente sem o certificado verificar mensagem. Isso efetivamente permite que um cliente para autenticar sem o uso de uma chave privada. Isso afeta apenas servidores que confia em uma autoridade de certificados de cliente que emite certificados contendo chaves DH: estes são extremamente raros e quase nunca encontrado.

Esse problema afeta as versões do OpenSSL: 1.0.1 e 1.0.0.

OpenSSL 1.0.1 os usuários devem atualizar para 1.0.1k.
OpenSSL 1.0.0 os usuários devem atualizar para 1.0.0p.

7- Impressões digitais de certificado podem ser modificados (CVE-2.014-8.275)

Gravidade: baixa

OpenSSL aceita vários não-der-variações de assinatura do certificado algoritmo e assinatura codificações. OpenSSL também não impõe uma jogo entre o algoritmo de assinatura entre a assinados e não assinados porções do certificado. Ao modificar o conteúdo da algoritmo de assinatura ou a codificação da assinatura, é possível para mudar a impressão digital do certificado.

Isso não permite que um atacante para forjar certificados, e não faz afetar a verificação do certificado ou OpenSSL servidores / clientes em qualquer outra maneira. Ele também não prejudica os mecanismos de revogação comuns. Apenas aplicativos personalizados que dependem da singularidade da impressão digital (por exemplo, listas negras certificado) pode ser afetada.

Esse problema afeta todas as versões do OpenSSL atuais: 1.0.1, 1.0.0 e 0.9.8.

OpenSSL 1.0.1 os usuários devem atualizar para 1.0.1k.
OpenSSL 1.0.0 os usuários devem atualizar para 1.0.0p.
OpenSSL 0.9.8 os usuários devem atualizar para 0.9.8zd.

8- Quadratura Bignum pode produzir resultados incorretos (CVE-2014-3570)

Gravidade: baixa

Bignum quadratura (BN_sqr) pode produzir resultados incorretos em alguns plataformas, incluindo x86_64. Este erro ocorre ao acaso com um muito baixa probabilidade, e não é conhecido por ser explorada de forma alguma, embora
seu impacto exato é difícil de determinar. O seguinte foi determinado:

* A probabilidade de BN_sqr produzindo um resultado incorreto ao acaso é muito baixa: 02/01 ^ 64 na plataforma de 32 bits único afetado (MIPS) e 02/01 ^ 128 em plataformas de 64 bits afetadas.
* Na maioria das plataformas, RSA segue um caminho de código diferente e RSA operações não são afetados em tudo. Para as restantes plataformas (Por exemplo, OpenSSL construída sem o apoio de montagem), pré-existente contramedidas frustrar ataques de bugs [1].
* Estática ECDH é teoricamente afetada: é possível construir pontos de curva elíptica que falsamente parecem estar no dado
curva. No entanto, não há nenhuma maneira conhecida computacionalmente viável para construir tais pontos com baixa ordem, e assim a segurança de estática Chaves privadas ECDH se acredita ser afectada.
* Outras rotinas conhecidas como teoricamente afetados são modulares exponenciação, teste de primalidade, DSA, RSA cegueira, e JPAKE SRP. Nenhum exploits são conhecidos e ataques de bugs simples falhar – ou o atacante não pode controlar quando o bug desencadeia, ou nenhuma material de chave privada está envolvido.

Esse problema afeta todas as versões do OpenSSL atuais: 1.0.1, 1.0.0 e 0.9.8.

OpenSSL 1.0.1 os usuários devem atualizar para 1.0.1k.
OpenSSL 1.0.0 os usuários devem atualizar para 1.0.0p.
OpenSSL 0.9.8 os usuários devem atualizar para 0.9.8zd.

OpenSSL - Vulnerabilidade precisa de update OpenSSL é um projeto open source robusto, que utiliza os protocolos SSL e TLS. Disponível para a maioria dos sistemas do tipo Unix, incluindo Linux, Mac OS X, as quatro versões do BSD de código aberto e também para o Microsoft Windows. O OpenSSL é baseado no SSLeay de Eric Young e Tim Hudson. Foram identificados 8 vulnerabilidades. O Projeto OpenSSL já disponibilizou os patchs com as devidas correções. Das 8 vulnerabilidades encontradas, 6 são classificadas como baixa e duas como moderadas, podendo até sofrer ataques de negação de serviços(DoS), que nada mais…

Review Overview

Score

Avalie

User Rating: Be the first one !
96

Sobre Alan Oliveira

Alan Oliveira
Bacharel em Sistemas de Informação, com Pós Graduação em Segurança de Redes e Sistemas. Trabalho como Analista de Suporte há 8 anos. Certificação Itil, LPIC-3, ISO/IEC 27002, ISO/IEC 20000, CompTIA Security+ e RHCE (Red Hat Certified Engineer).

Deixe uma resposta

O seu endereço de email não será publicado. Required fields are marked *

*

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>