OpenSSL: Diverse vulnerabilità

Questa sezione ci sono gli annunci di sicurezza
Rispondi
Avatar utente
Martyn
Amministratore
Messaggi: 161
Iscritto il: 20/11/2013, 4:40
Contatta:

OpenSSL: Diverse vulnerabilità

Messaggio da Martyn »

Pare che questo pacchetto non abbia pace (e ci credo! Rende possibile una serie di librerie che rende possibile le connessioni sicure) ed è affetta da una nuova vulnerabilità... anzi, più di una!

Potete trovare (per Debian) un avviso qui: https://www.debian.org/security/2015/dsa-3125

In poche parole queste le vulnerabilità trovate:
  1. La funzione "ssl23_get_client_hello" non viene gestita correttamente, in alcuni casi di uso del puntatori con SSLv3 e no-SSL3, se il valore è NULL, questo causa il crash del processo demone
  2. la funzione "bignum squaring" (BN_sqr), su alcune piattaforme, può causare un errore di calcolo che permetterebbe una facilitazione a chi tenta di rompere i meccanismi di crittografia
  3. Un messaggio DTLS preparato con cura, potrebbe causare un attacco DOS, in quando manda in crash OpenSSL a causa di un puntatore nullo
  4. OpenSSL accetta scambi di chiavi ECDH con messaggio del server omesso (server compromesso). Questo permette al server SSL compromesso di abbassare il livello di fiducia,con ECDHE-to-ECDH, e far perdere la sicurezza del mezzo usato
  5. OpenSSL accetta chiavi RSA non validi, violando il protocollo TSL. In questo modo i server SSL abbassano la sicurezza della sessione.
  6. OpenSSL accetta un certificato di DH per l'autenticazione client, senza il certificato di verifica messaggio. Questo permette di autenticare un client senza password su un server che accetta i certificati DH rilasciati da una autorità di certificazione. Passando quindi per vero.
  7. OpenSSL soffre di un problema di memoria nella funzione dtls1_buffer_record. Un aggressore remoto potrebbe sfruttare questo difetto per montare un denial of service attraverso la memoria in esaurimento inviando ripetutamente record DTLS appositamente predisposti.
La versione di Squeeze e Sid hanno risolto, per Jessie si sta ancora lavorando.
Come sempre... in campana!
Avatar utente
Bomberman
Utente Base
Messaggi: 46
Iscritto il: 20/11/2013, 5:38
Località: Saturno, Sistema Solare, Via Lattea

Re: OpenSSL: Diverse vulnerabilità

Messaggio da Bomberman »

Grazie, controllo subito
Bomberman
Rispondi