---------------------------- Mensaje Original ----------------------------
Asunto: [Gasu] Boletín de Seguridad UNAM-CERT 2004-004 "Múltiples
Vulnerabilidades en OpenSSL" De: "UNAM-CERT"
<[EMAIL PROTECTED]>
Fecha: Thu, 18 de Marzo de 2004, 10:05 pm
Para: [EMAIL PROTECTED]
--------------------------------------------------------------------------
-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletín de Seguridad UNAM-CERT 2004-004
Múltiples vulnerabilidades en OpenSSL
----------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín donde
informan sobre varias vulnerabilidades en la biblioteca SSL/TLS de
OpenSSL que podrían permitir a un intruso remoto, no autenticado,
provocar un ataque del tipo Negación de Servicio.
Fecha de Liberación: 18 de Marzo de 2004
Ultima Revisión: ---
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, así como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
================ * Aplicaciones y sistemas que usan la
biblioteca SSL/TLS de
OpenSSL I.
I. DESCRIPCIÓN
============ OpenSSL implemtenta los protocolos Secure Sockets
Layer (SSL) y Transport Layer Security (TLS) e incluye una biblioteca
criptográfica de propósito general. SSL y TLS son comúnmente usadas
para proporcionar servicios de autenticación, encripción, integridad y
no repudio para aplicaciones de red como HTTP, IMAP, POP3, STP y LDAP.
OpenSSL es ampliamente utilizado entre una diversidad de plataformas y
sistemas. En particular, muchos ruteadores y otros tipos de equipo de
red usan OpenSSL.
El National Infrastructure Security Co-ordination Centre (NISCC) del
Reino Unido y el OpenSSL Project han reportado tres vulnerabilidades
en la biblioteca SSL/TLS de OpenSSL (libssl). Cualquier aplicación o
sistema que usa esta biblioteca podría ser afectado.
VU#288574 - OpenSSL contiene asignación a un apuntador nulo en la
función do_change_cipher_spec()
Las versiones de OpenSSL desde la 0.9.6c a la 0.9.6k y de la 0.9.7a a
la 0.9.7c contienen una asignación a un apuntador nulo en la función
do_change_cipher_spec(). Realizando un "handshake" SSL/TLS diseñado
especialmente, un intruso podría provocar que OpenSSL falle, lo que
puede resultar en una negación de servicio en la aplicación destino.
(Otras fuentes: OpenSSL Security Advisory (1.), CAN-2004-0079,
NISCC/224012/OpenSSL/1)
VU#484726 - OpenSSL no valida adecuadamente la longitud de los tickets
de Kerberos durante el inicio de negociacion de inicio de sesion
(handshake) SSL/TLS.
Las versiones 0.9.7a, 0.9.7b y 0.9.7c de OpenSSL no validan
adecuadamente la longitud de los tickets de Kerberos durante el inicio
de negociacion de inicio de sesion (handshake) SSL/TLS. OpenSSL no
está configurado para usar Kerberos de manera
predeterminada. Realizando un handshake SSL/TLS especialmente
diseñado con un sistema OpenSSL configurado para usar Kerberos, un
intruso podría provocar que falle OpenSSL, lo cual puede resultar en
una negación de servicio en la aplicación destino. OpenSSL 0.9.6 no es
afectado.
(Otras fuentes: OpenSSL Security Advisory (2.), CAN-2004-0112,
NISCC/224012/OpenSSL/2)
VU#465542 - OpenSSL no maneja propiamente el tipo de mensajes
desconocidos.
La versión anterior a OpenSSL 0.9.6d no maneja apropiadamente los
tipos de mensajes desconocidos de SSL/TLS. Un intruso podría causar
que la aplicación entre en un loop infinito, el cual puede resultar en
una negación de servicio. La versión OpenSSL 0.9.7 no es afectada.
(Otras fuentes: CAN-2004-0081, NISCC/224012/OpenSSL/3)
II. Impacto.
========== Un intruso remoto no autenticado podría causar una
negación de servicio en cualquier aplicación o sistema que utilice las
bibliotecas de OpenSSL SSL/TLS.
III. Solución.
============ * Actualizar o aplicar el parche correspondiente
Actualizar a OpenSSL 0.9.6m o 0.9.7d. Alternativamente, actualizar o
aplicar un parche que especifique su distribuidor. Es importante
mencionar que se necesita recompilar las aplicaciones que estén
estáticamente ligadas a las bibliotecas de OpenSSL SSL/TLS.
Apéndice A*. Información de distribuidores
======================================== Varios fabricantes son
afectados por diferentes combinaciones de estas vulnerabilidades.
Para información reciente, favor de ver la sección de Sistemas
Afectados VU#288574, VU#484726 y VU#465542.
Apendice B. Referencias.
======================= US-CERT Technical Cyber Security Alert
TA04-078A - http://www.us-cert.gov/cas/techalerts/TA04-078A.html
Nota de vulnerabilidad VU#288574 -
http://www.kb.cert.org/vuls/id/288574
Nota de vulnerabilidad VU#484726 -
http://www.kb.cert.org/vuls/id/484726
Nota de vulnerabilidad VU#465542 -
http://www.kb.cert.org/vuls/id/465542
Boletín de seguridad OpenSSL [17 March 2004] -
http://www.openssl.org/news/secadv_20040317.txt
Boletín de seguridad NISCC 224012 -
http://www.uniras.gov.uk/vuls/2004/224012/index.htm
RFC 2712 <http://www.cis.ohio-state.edu/rfc/rfc2712.txt> Suites
adicionales de cifrado de Kerberos a la capa de transporte Security
(TLS) - http://www.ietf.org/rfc/rfc2712.txt
Estas vulnerabilidades fueron investigadas y reportadas por el
Proyecto OpenSSL y el Centro de Coordinación Nacional de
Infraestructura de Seguridad (NISCC).
------------------------------------------------------------------------
Autores de la versión original: Art Manion y Damon Morda.
------------------------------------------------------------------------
El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en
la elaboración, revisión y traducción de éste boletín a:
* Sergio Alavez Miguel ([EMAIL PROTECTED])
* Rubén Aquino Luna ([EMAIL PROTECTED])
------------------------------------------------------------------------
INFORMACIÓN
========= Éste documento se encuentra disponible en su formato
original en la siguiente dirección:
http://www.us-cert.gov/cas/techalerts/TA04-078A.html
La versión en español del documento se encuentra disponible en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-004.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : [EMAIL PROTECTED]
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQFpjbHAvLUtwgRsVAQE6ZggAs/YJK+jzLrmu78zZfdwItyjdjkcll6TG
FFXT0sguDRL0C3mw1D2TJi7Jqf21aZ3lyq3s85iApjfmMX/4SzlUUaXYfVb+07Zj
ZpKS/ZHH9yawesBR7KfgMWFri91FnWs42jHsS8LF+yjYZKNJIaOUna4pEANQEugT
4JSuBpErtfVO3ME1CGI3RPVCpzYCrxueFOcqN2v4hCdt2Mjq0lHnHTXPiqTlT3hB
hlbN+WOqOzGdOZg/yaDDxIjGb9fF128Ik3Iay+yzNXhrjLsJP4lQExnn+4fRxhhY
RuWIwzejKM+BZHMWpUApnA3LF3otDlPsx5whnbTgiTqX7OERVqeXBA==QBc9
-----END PGP SIGNATURE-----
_______________________________________________
Lista de Correo Gasu
Mensajes a esta lista : [EMAIL PROTECTED]
Archivos historicos :http://www.seguridad.unam.mx/mailman/listinfo/gasu
Dar de baja de esta lista : http://www.seguridad.unam.mx/unsubscribe.html
_______________________________________________
