Vulnerabilidad 0-byte record padding oracle en OpenSSL
Fecha de publicación 28/02/2019
Importancia
3 - Media
Recursos Afectados
- OpenSSL 1.0.2
Descripción
OpenSSL ha publicado una vulnerabilidad de tipo 0-byte record padding oracle que podría permitir a un atacante remoto descifrar datos y obtener información confidencial.
Solución
- Actualizar a las versiones 1.0.2r o 1.1.1
Actualmente solo reciben actualizaciones de seguridad OpenSSL las versiones 1.0.2 y 1.1.0. Para la versión 1.0.2, el soporte finalizará el 31 de diciembre de 2019 y para la versión 1.1.0, el 11 septiembre de 2019. Los usuarios de estas versiones deben actualizar a OpenSSL 1.1.1
Detalle
- Si una aplicación encuentra un error fatal de protocolo y luego llama dos veces a la función SSL_shutdown(), una para enviar close_notify y otra para recibirlo, OpenSSL podría responder de forma diferente a la aplicación que llama, dependiendo de si recibe un registro de 0 bytes con un padding inválido o de si recibe un registro de 0 bytes con una MAC inválida. Si la aplicación se comporta de forma diferente a lo esperado por el remote peer, se podrían descifrar datos y obtener información confidencial mediante un ataque de padding oracle. Se ha asignado el identificador CVE-2019-1559 para esta vulnerabilidad.
Etiquetas