DSA-3566-1 openssl - actualización de seguridad

1 envío / 0 nuevos
#1 Mar, 17/05/2016 - 09:15
moonwatcher
Imagen de moonwatcher
Desconectado/a
moderador
se unió: 21/01/16

DSA-3566-1 openssl - actualización de seguridad

Fecha del informe:

03 de mayo de el año 2016

Paquetes afectados:

openssl

Vulnerable:

Referencias de bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2016-2105 , CVE-2016-2106 , CVE-2016-2107 , CVE-2016-2108 , CVE-2016-2109 .

Más información:

Múltiples vulnerabilidades fueron descubiertas en OpenSSL, un conjunto de herramientas de Secure Socket Layer.

CVE-2016-2105

Guido Vranken descubrió que un desbordamiento puede ocurrir en el EVP_EncodeUpdate función (), que se utiliza para la codificación Base64, si un atacante puede suministrar una gran cantidad de datos. Esto podría conducir a daños en la pila.

CVE-2016-2106

Guido Vranken descubrió que un desbordamiento puede ocurrir en el EVP_EncryptUpdate función () si un atacante puede suministrar una gran cantidad de datos. Esto podría conducir a daños en la pila.

CVE-2016-2107

Juraj Somorovsky descubrió un oráculo de relleno en la aplicación de cifrado AES CBC basado en el conjunto de instrucciones AES-NI. Esto podría permitir a un atacante descifrar el tráfico cifrado TLS con uno de los conjuntos de cifrado basado en AES CBC.

CVE-2016-2108

David Benjamin de Google descubrió que dos fallos separados en el codificador ASN.1, referentes a la manipulación de negativos valores cero enteros y grandes etiquetas universales, podría dar lugar a una escritura fuera de los límites.

CVE-2016-2109

Brian Carpenter, descubrió que cuando los datos ASN.1 se lee de un BIO utilizando funciones como d2i_CMS_bio (), una codificación no válida corto puede causar asignación de grandes cantidades de memoria potencialmente consumen recursos excesivos o la memoria agotador.

Información adicional sobre estos temas se puede encontrar en el aviso de seguridad en OpenSSL https://www.openssl.org/news/secadv/20160503.txt

Para la distribución estable (Jessie), estos problemas se han corregido en la versión 1.0.1k-3 + deb8u5.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.0.2h-1.

Le recomendamos que actualice el paquete OpenSSL.

Original en inglés: https://www.debian.org/security/2016/dsa-3566