[LUG.ro Mix] Fwd: Boletín de Seguridad UNAM-CERT 2004-004 "Múltiples Vulnerabilidades en OpenSSL"
Sebastián D. Criado
lugro-mix@lugro.org.ar
Fri, 19 Mar 2004 10:27:25 -0300
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
- ---------- Mensaje reenviado ----------
Subject: Boletín de Seguridad UNAM-CERT 2004-004 "Múltiples Vulnerabilidades
en OpenSSL"
Date: Viernes 19 Marzo 2004 00:05
From: UNAM-CERT <unam-cert@seguridad.unam.mx>
To: unam-cert@seguridad.unam.mx
- -----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletín de Seguridad UNAM-CERT 2004-004
Múltiples vulnerabilidades en OpenSSL
----------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín donde
informan sobre varias vulnerabilidades en la biblioteca SSL/TLS de
OpenSSL que podrían permitir a un intruso remoto, no autenticado,
provocar un ataque del tipo Negación de Servicio.
Fecha de Liberación: 18 de Marzo de 2004
Ultima Revisión: ---
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, así como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
==================
* Aplicaciones y sistemas que usan la biblioteca SSL/TLS de
OpenSSL I.
I. DESCRIPCIÓN
==============
OpenSSL implemtenta los protocolos Secure Sockets Layer (SSL) y
Transport Layer Security (TLS) e incluye una biblioteca
criptográfica de propósito general. SSL y TLS son comúnmente usadas
para proporcionar servicios de autenticación, encripción, integridad
y no repudio para aplicaciones de red como HTTP, IMAP, POP3, STP y
LDAP. OpenSSL es ampliamente utilizado entre una diversidad de
plataformas y sistemas. En particular, muchos ruteadores y otros
tipos de equipo de red usan OpenSSL.
El National Infrastructure Security Co-ordination Centre (NISCC) del
Reino Unido y el OpenSSL Project han reportado tres vulnerabilidades
en la biblioteca SSL/TLS de OpenSSL (libssl). Cualquier aplicación o
sistema que usa esta biblioteca podría ser afectado.
VU#288574 - OpenSSL contiene asignación a un apuntador nulo en la
función do_change_cipher_spec()
Las versiones de OpenSSL desde la 0.9.6c a la 0.9.6k y de la 0.9.7a
a la 0.9.7c contienen una asignación a un apuntador nulo en la
función do_change_cipher_spec(). Realizando un "handshake" SSL/TLS
diseñado especialmente, un intruso podría provocar que OpenSSL
falle, lo que puede resultar en una negación de servicio en la
aplicación destino.
(Otras fuentes: OpenSSL Security Advisory (1.), CAN-2004-0079,
NISCC/224012/OpenSSL/1)
VU#484726 - OpenSSL no valida adecuadamente la longitud de los
tickets de Kerberos durante el inicio de negociacion de inicio de
sesion (handshake) SSL/TLS.
Las versiones 0.9.7a, 0.9.7b y 0.9.7c de OpenSSL no validan
adecuadamente la longitud de los tickets de Kerberos durante el
inicio de negociacion de inicio de sesion (handshake) SSL/TLS.
OpenSSL no está configurado para usar Kerberos de manera
predeterminada. Realizando un handshake SSL/TLS especialmente
diseñado con un sistema OpenSSL configurado para usar Kerberos, un
intruso podría provocar que falle OpenSSL, lo cual puede resultar en
una negación de servicio en la aplicación destino. OpenSSL 0.9.6 no
es afectado.
(Otras fuentes: OpenSSL Security Advisory (2.), CAN-2004-0112,
NISCC/224012/OpenSSL/2)
VU#465542 - OpenSSL no maneja propiamente el tipo de mensajes
desconocidos.
La versión anterior a OpenSSL 0.9.6d no maneja apropiadamente los
tipos de mensajes desconocidos de SSL/TLS. Un intruso podría causar
que la aplicación entre en un loop infinito, el cual puede resultar
en una negación de servicio. La versión OpenSSL 0.9.7 no es afectada.
(Otras fuentes: CAN-2004-0081, NISCC/224012/OpenSSL/3)
II. Impacto.
============
Un intruso remoto no autenticado podría causar una negación de
servicio en cualquier aplicación o sistema que utilice las
bibliotecas de OpenSSL SSL/TLS.
III. Solución.
==============
* Actualizar o aplicar el parche correspondiente
Actualizar a OpenSSL 0.9.6m o 0.9.7d. Alternativamente, actualizar o
aplicar un parche que especifique su distribuidor. Es importante
mencionar que se necesita recompilar las aplicaciones que estén
estáticamente ligadas a las bibliotecas de OpenSSL SSL/TLS.
Apéndice A*. Información de distribuidores
==========================================
Varios fabricantes son afectados por diferentes combinaciones de
estas vulnerabilidades.
Para información reciente, favor de ver la sección de Sistemas
Afectados VU#288574, VU#484726 y VU#465542.
Apendice B. Referencias.
=========================
US-CERT Technical Cyber Security Alert TA04-078A -
http://www.us-cert.gov/cas/techalerts/TA04-078A.html
Nota de vulnerabilidad VU#288574 -
http://www.kb.cert.org/vuls/id/288574
Nota de vulnerabilidad VU#484726 -
http://www.kb.cert.org/vuls/id/484726
Nota de vulnerabilidad VU#465542 -
http://www.kb.cert.org/vuls/id/465542
Boletín de seguridad OpenSSL [17 March 2004] -
http://www.openssl.org/news/secadv_20040317.txt
Boletín de seguridad NISCC 224012 -
http://www.uniras.gov.uk/vuls/2004/224012/index.htm
RFC 2712 <http://www.cis.ohio-state.edu/rfc/rfc2712.txt> Suites
adicionales de cifrado de Kerberos a la capa de transporte Security
(TLS) - http://www.ietf.org/rfc/rfc2712.txt
Estas vulnerabilidades fueron investigadas y reportadas por el
Proyecto OpenSSL y el Centro de Coordinación Nacional de
Infraestructura de Seguridad (NISCC).
------------------------------------------------------------------------
Autores de la versión original: Art Manion y Damon Morda.
------------------------------------------------------------------------
El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo
en la elaboración, revisión y traducción de éste boletín a:
* Sergio Alavez Miguel (salavez@seguridad.unam.mx)
* Rubén Aquino Luna (raquino@seguridad.unam.mx)
------------------------------------------------------------------------
INFORMACIÓN
===========
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.us-cert.gov/cas/techalerts/TA04-078A.html
La versión en español del documento se encuentra disponible en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-
004.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert@seguridad.unam.mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- -----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQFpjbHAvLUtwgRsVAQE6ZggAs/YJK+jzLrmu78zZfdwItyjdjkcll6TG
FFXT0sguDRL0C3mw1D2TJi7Jqf21aZ3lyq3s85iApjfmMX/4SzlUUaXYfVb+07Zj
ZpKS/ZHH9yawesBR7KfgMWFri91FnWs42jHsS8LF+yjYZKNJIaOUna4pEANQEugT
4JSuBpErtfVO3ME1CGI3RPVCpzYCrxueFOcqN2v4hCdt2Mjq0lHnHTXPiqTlT3hB
hlbN+WOqOzGdOZg/yaDDxIjGb9fF128Ik3Iay+yzNXhrjLsJP4lQExnn+4fRxhhY
RuWIwzejKM+BZHMWpUApnA3LF3otDlPsx5whnbTgiTqX7OERVqeXBA==
=QBc9
- -----END PGP SIGNATURE-----
- -------------------------------------------------------
- --
- --
Sebastián D. Criado - scriado@ciudad.com.ar
L.U.G.R.o - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
- -------------------------------------------------------------------
"Si el Universo fuera un programa estaría hecho en C, y correría sobre
un sistema UNIX"
Anónimo.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
iD8DBQFAWvU98hmHQ8ZCg0IRAjjCAKCxQU/PL2tfunJlxRDqMsNgahol9gCgnm1O
Fz+im0lBoWDk06TYXODa3Zo=
=7APD
-----END PGP SIGNATURE-----