Últimas notícias

Fique informado
OpenSSL | Atualize agora!

OpenSSL | Atualize agora!

11 de novembro de 2016
OpenSSL lança patch para a vulnerabilidade de Gravidade “High”

Conforme anunciado pelo portal Thehacker News na última terça-feira, a equipe do projeto OpenSSL lançou  um patch  de atualização para a versão 1.1.0c, que corrige três vulnerabilidades de segurança em seu software.

(CVE-2016-7054) Alta | (CVE-2016-7053) Moderada | (CVE-2016-7055 ) Leve

CVE-2016-7054

O bug de maior criticidade é o erro (CVE-2016-7054) relacionado ao Transport Layer Security (TLS), conexões que usam conjuntos de codificação * -CHACHA20-POLY1305.

A vulnerabilidade, relatada por Robert Swiecki da Google Security Team em 25 de setembro, pode abrir uma brecha para ataques DoS corrompendo cargas maiores resultando em grandes incidentes.

A gravidade da falha é classificada como “alta” e não afeta as versões anteriores à OpenSSL 1.1.0. No entanto, a equipe relata que não há evidências de que a falha pode ser explorada para além de um ataque de negação de serviço.

CVE-2016-7053

O projeto OpenSSL também corrige uma falha de gravidade moderada (CVE-2016-7053) que pode causar falhas nos aplicativos.

” Applications parsing invalid CMS structures can crash with a NULL pointer dereference. This is caused by a bug in the handling of the ASN.1 CHOICE type in OpenSSL 1.1.0 which can result in a NULL value being passed to the structure callback if an attempt is made to free certain invalid encodings. Only CHOICE structures using a callback which do not handle NULL value are affected,” the team explains. explica a equipe.

A vulnerabilidade também afeta apenas OpenSSL 1.1.0.

CVE-2016-7055 

A atualização  OpenSSL 1.1.0c também corrige uma falha considerada de “baixa” gravidade ( CVE-2016-7055 ), que está relacionada com o processo de multiplicação Montgomery Broadwell específicos que trata a entrada de comprimentos divisível por, mas mais do que, 256 bits.

A questão não foi inicialmente considerada como um problema de segurança, mas os especialistas têm demonstrado que a vulnerabilidade pode ser explorada por atacantes em circunstâncias muito específicas.

Esta vulnerabilidade afeta a versão atual, mas devido se considerada como de baixa gravidade, a equipe não incluiu a correção neste momento. A correção será incluída na próxima versão 1.0.2. Assim, os usuários são aconselhados a esperar por ela.

É recomendado que todos os usuários atualizem seu software para OpenSSL versão 1.1.0c.

Como em seus anúncios anteriores, o projeto OpenSSL lembrou aos seus usuários que o projeto não apoiará mais a  versão 1.0 0,1 após 31 de Dezembro de 2016 e não receberá atualizações de segurança após esse prazo.

Patch  de atualização para a versão OpenSSL 1.1.0c,

Artigo original: http://thehackernews.com

CATEGORIAS

Destaques Notícias