Múltiples vulnerabilidades Mbed TLS
Mbed TLS versiones 1.2 y superiores, y versiones 2.1, 2.7 y superiores.
Mbed TLS ha anunciado varias vulnerabilidades que permitirán a un atacante la recuperación remota de texto plano cuando se utiliza un cifrado basado en CBC.
Se recomienda actualizar a las versiones 2.12.0, 2.7.5 o 2.1.14 o posterior.
Cuando se utiliza un cifrado basado en CBC es posible que un atacante remoto recupere parcialmente un texto sin formato. Para ello el atacante deberá poder capturar e inyectar tráfico de red, y en el caso de utilización de TLS generar múltiples sesiones con el mismo texto, para DTLS con una sesión sería suficiente.
Es posible recuperar parcialmente el texto sin formato de los mensajes que aprovechan los canales laterales de temporización o de caché. Se han asignado a estas vulnerabilidades los identificadores CVE-2018-0497 y CVE-2018-0498.
