Libertonia
Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios
Fallo de seguridad de OpenSSL en Debian

Seguridad
Por mainake
departamento no-me-toques-los-bajos , Sección Comunidad
Puesto a las Tue Jul 30th, 2002 at 05:01:38 PM CET
Según del Debian Security Advisory DSA-136-1 (que todavía no esta en la web de Debian), se han encontrado varias vulnerabilidades en el paquete openssl (versiones: openssl094_0.9.4-6.woody.0, openssl095_0.9.5a-6.woody.0 y openssl_0.9.6c-2.woody.0). Se recomienda actualizarse.

 


Pego aquí parte del aviso:

Package : openssl
Problem type : multiple remote exploits
Debian-specific: no
CVE : CAN-2002-0655 CAN-2002-0656 CAN-2002-0657 CAN-2002-0659

The OpenSSL development team has announced that a security audit by A.L. Digital Ltd and The Bunker, under the DARPA CHATS program, has revealed remotely exploitable buffer overflow conditions in the OpenSSL code. Additionaly, the ASN1 parser in OpenSSL has a potential DoS attack independently discovered by Adi Stav and James Yonan.

CAN-2002-0655 references overflows in buffers used to hold ASCII representations of integers on 64 bit platforms. CAN-2002-0656 references buffer overflows in the SSL2 server implementation (by sending an invalid key to the server) and the SSL3 client implementation (by sending a large session id to the client). The SSL2 issue was also noticed by Neohapsis, who have privately demonstrated exploit code for this issue. CAN-2002-0659 references the ASN1 parser DoS issue.
< Knoppix, tu debian portátil (4 comments) | Foros de ayuda de GNOME (0 comments) >
Enlaces Relacionados
· Debian
· More on Seguridad
· Also by mainake

Menu
· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login
Nueva cuenta
Usuario:
Contraseña:

Ver: Modo: Orden:
Fallo de seguridad de OpenSSL en Debian | 2 comentarios (2 temáticos, editoriales, 0 ocultos)
NO es específico de Debian (none / 0) (#1)
por dardhal a las Tue Jul 30th, 2002 at 05:26:55 PM CET
(Información Usuario)

Aunque ya lo dice el cuerpo de la noticia, me parece interesante señalar que los problemas de seguridad descritos NO son específicos de Debian. Resulta que se está llevando a cabo una "auditoría de seguridad" del código de OpenSSL, y se han dado cuenta (de momento) de estos fallos que pueden facilitar acceso remoto a los posibles atacantes.

La publicación de esta vulnerabilidad ha sido coordinada con los fabricantes más importantes, al menos del "mundillo" de Linux, y diversos distribuidores (entre los que se incluye Debian) ya disponen de paqutes actualizados para (algunas de) sus versiones.

Para disponer de más información de los problemas solucionados, consultar el aviso de seguridad y el mensaje en bugtraq.



Tsk, tsk (none / 0) (#2)
por jcantero (jcantero@agujero-negro.escomposlinux.org) a las Tue Jul 30th, 2002 at 05:30:49 PM CET
(Información Usuario) http://www.escomposlinux.org/jcantero/

Te me has adelantado por segundos O:-).

Pues eso, que en los fallos de seguridad por favor se dé el aviso para todas las distribuciones.

--
"Papá, ¡Internet es más que una red pornográfica global!" -- Lisa Simpson
[ Padre ]


 
Fallo de seguridad de OpenSSL en Debian | 2 comentarios (2 temáticos, editoriales, 0 ocultos)
Ver: Modo: Orden:

ecol Logo Powered by Scoop
Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda