OpenSSL lança patch para a vulnerabilidade de Gravidade “High”
Conforme anunciado pelo portal Thehacker News na última terça-feira, a equipe do projeto OpenSSL lançou um patch de atualização para a versão 1.1.0c, que corrige três vulnerabilidades de segurança em seu software.
(CVE-2016-7054) Alta | (CVE-2016-7053) Moderada | (CVE-2016-7055 ) Leve
CVE-2016-7054
O bug de maior criticidade é o erro (CVE-2016-7054) relacionado ao Transport Layer Security (TLS), conexões que usam conjuntos de codificação * -CHACHA20-POLY1305.
A vulnerabilidade, relatada por Robert Swiecki da Google Security Team em 25 de setembro, pode abrir uma brecha para ataques DoS corrompendo cargas maiores resultando em grandes incidentes.
A gravidade da falha é classificada como “alta” e não afeta as versões anteriores à OpenSSL 1.1.0. No entanto, a equipe relata que não há evidências de que a falha pode ser explorada para além de um ataque de negação de serviço.
CVE-2016-7053
O projeto OpenSSL também corrige uma falha de gravidade moderada (CVE-2016-7053) que pode causar falhas nos aplicativos.
” Applications parsing invalid CMS structures can crash with a NULL pointer dereference. This is caused by a bug in the handling of the ASN.1 CHOICE type in OpenSSL 1.1.0 which can result in a NULL value being passed to the structure callback if an attempt is made to free certain invalid encodings. Only CHOICE structures using a callback which do not handle NULL value are affected,” the team explains. explica a equipe.
A vulnerabilidade também afeta apenas OpenSSL 1.1.0.
CVE-2016-7055
A atualização OpenSSL 1.1.0c também corrige uma falha considerada de “baixa” gravidade ( CVE-2016-7055 ), que está relacionada com o processo de multiplicação Montgomery Broadwell específicos que trata a entrada de comprimentos divisível por, mas mais do que, 256 bits.
A questão não foi inicialmente considerada como um problema de segurança, mas os especialistas têm demonstrado que a vulnerabilidade pode ser explorada por atacantes em circunstâncias muito específicas.
Esta vulnerabilidade afeta a versão atual, mas devido se considerada como de baixa gravidade, a equipe não incluiu a correção neste momento. A correção será incluída na próxima versão 1.0.2. Assim, os usuários são aconselhados a esperar por ela.
É recomendado que todos os usuários atualizem seu software para OpenSSL versão 1.1.0c.
Como em seus anúncios anteriores, o projeto OpenSSL lembrou aos seus usuários que o projeto não apoiará mais a versão 1.0 0,1 após 31 de Dezembro de 2016 e não receberá atualizações de segurança após esse prazo.
Patch de atualização para a versão OpenSSL 1.1.0c,
Artigo original: http://thehackernews.com