[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA- UNAM
Boletín de Seguridad UNAM-CERT 2002-023
Múltiples Vulnerabilidades en OpenSSL
------------------------------------------------------------------
El CERT/UNAM-CERT , a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín en el
cual informan de cuatro buffers overflow remotamente explotables
en OpenSSL. Existen también problemas de codificación en la
biblioteca ASN.1 utilizada por OpenSSL.
Varias de estas vulnerabilidades podrían ser utilizadas por un
intruso remoto para ejecutar código arbitrario en el sistema
víctima. Todas estas vulnerabilidades podrían ser utilizadas para
crear una negación de servicio.
Fecha de
Liberación: 30 de Julio de 2002
Ultima Revisión: ---
CERT/CC y diversos reportes
Fuente: de Equipos de Respuesta a
Incidentes.
SISTEMAS AFECTADOS
------------------
* OpenSSL anterior a la versión 0.9.6e, y superiores e
incluyendo las preliberaciones 0.9.7-beta2
* OpenSSL preliberación 0.9.7-beta2 y anteriores, con Kerberos
habilitado
* Biblioteca SSLeay
DESCRIPCIÓN
-----------
OpenSSL es ampliamente utilizado, en lo que se refiere a la
implementación del código fuente de los protocolos Secure Sockets
Layer ( SSL v2/v3 ) y Transport Layer Security (TLS v1 ) así como
también la biblioteca de criptografía de propósito general. Los
protocolos SSL y TSL son utilizados para proporcionar una conexión
segura entre un cliente y un servidor para protocolos de alto
nivel como el HTTP. Existen cuatro vulnerabilidades remotamente
explotables en muchos sistemas clientes y servidores OpenSSL.
VU#102795 - Los Servidores OpenSSL Contienen un Buffer Overflow
Durante el Proceso handshake en SSLv2.
Las versiones de servidores OpenSSL anteriores a la
0.9.6e y preliberaciones de la versión 0.9.7-beta2
contienen una vulnerabilidad de buffer overflow
remotamente explotable. Esta vulnerabilidad puede ser
explotada por un cliente utilizando una llave malformada
durante el proceso hansdhake con una conexión al
servidor SSL
Este problema se ha referenciado como CAN-2002-0656.
VU#258555 - Los Clientes OpenSSL Contienen un Buffer Overflow
Durante el Proceso handshake en SSLv3.
Los clientes de OpenSSL utilizando SSLv3 anterior a la
versión 0.9.6e y la preliberación de la versión
0.9.7-beta2 contienen una vulnerabilidad de buffer
overflow. Un servidor malicioso puede explotar esta
vulnerabilidad enviando una sesión larga de ID al
cliente durante el proceso handshake.
Este problema se ha referenciado como CAN-2002-0656.
VU#561275 - Los Servidores OpenSSL con Kerberos Habilitado
Contienen una Vulnerabilidad de Buffer Overflow Durante el Proceso
handshake en SSLv3.
Los servidores ejecutando la preliberación de la versión
0.9.7 de OpenSSL con kerberos habilitado contiene una
vulnerabilidad de buffer overflow remotamente
explotable. Esta vulnerabilidad puede ser explotada por
un cliente malicioso enviando una llave malformada al
servidor durante el proceso handshake en SSLv3.
Este problema se ha referenciado como CAN-2002-0657.
VU#308891 - OpenSSL Contiene Múltiples Buffers Overflow en Buffers
que son Utilizados para Almacenar Representaciones de Enteros
ASCII
Los servidores y clientes OpenSSL anteriores a la
versión 0.9.6e y la preliberación de la versión
0.9.7-beta2 contienen múltiples vulnerabilidades de
buffer overflow remotamente explotables si se ejecutan
en plataformas de 64 bits. Estos buffers son utilizados
para almacenar representación de enteros ASCCII.
Este problema se ha referenciado como CAN-2002-0655.
Además, un problema separado ha sido identificado en OpenSSL que
involucra codificaciones ASN.1 malformadas. Los componentes
afectados incluyen aplicaciones SSL o TLS, así como S/MIME,
PKCS#7, y rutinas de creación certificadas.
VU#748355 - Existen Errores de Codificación ASN.1 en
Implementaciones de Rutinas SSL, TLS, S/MIME, PKCS#7
La biblioteca ASN.1 utilizada por OpenSSL tiene varios
errores de codificación que permiten que codificaciones
de certificados malformados sean pasados
incorrectamente. El exploit de esta vulnerabilidad puede
permitir problemas de negación de servicio. Las rutinas
afectadas incluyen soporte para aplicaciones SSL y TLS,
asi como también soporte para S/MIME, PKCS#7, y creación
de certificación.
Este problema ha sido referenciado como CAN-2002-0659.
Aunque estas vulnerabilidades afectan solo a OpenSSL, otras
implementaciones del protocolo SSL que utilizan o comparten una
base común pueden ser afectadas. Estas incluyen implementaciones
que son derivadas de la Biblioteca SSLeay desarrollada por Eric A.
Young y Tim J. Hudson.
Como se hace notar en el Boletín de OpenSSL, los sitios ejecutando
OpenSSL 0.9.6d en plataformas de 32 bits con handshaking en SSLv2
deshabilitado no serán afectadas por ninguno de los buffers
overflows descritos en este boletín. Sin embargo, debido a la
naturaleza de los errores de codificación de ASN.1, tales sitios
pueden aun ser afectados por situaciones de negación de servicio.
IMPACTO
-------
Explotando los buffers overflows descritos anteriormente, un
intruso remoto puede ejecutar código arbitrario en un servidor o
cliente vulnerable o causar una situación de negación de servicio.
El exploit de los errores de codificación ASN.1 puede permitir una
negación de servicio.
SOLUCIONES
----------
El Apéndice A contiene información proporcionada por los
distribuidores de éste boletín. Tan pronto como los distribuidores
reporten nueva información al CERT/UNAM-CERT, se actualizará esta
sección. Si un distribuidor en particular no se encuentra listado
a continuación, significa que no se han recibido comentarios de su
parte.
* Actualizar a la Versión 0.9.6e de OpenSSL
Actualizar la versión 0.9.6e de OpenSSL para resolver problemas
mencionados en este boletín. Como se menciona en el Boletín de
OpenSSL, los parches están también disponibles por separado:
Parches combinados para OpenSS 0.9.6d:
http://www.openssl.org/news/patch_20020730_0_9_6d.txt
Después de aplicar los parches anteriores o de actualizar a la
versión 0.9.6e, recompile todas las aplicaciones utilizadas por
OpenSSL para soportar los servicios de SSL o TSL, y reinicie los
servicios o sistemas antes mencionados. Esto eliminará todo código
vulnerable.
Los sitios ejecutando preliberaciones de la versión 0.9.7-beta2 de
OpenSSL pueden actualizar a 0.9.7-beta3, la cual corrige estas
vulnerabilidades. Los parches, por separado, están también
disponibles:
Parches combinados para OpenSSL 0.9.7 beta 2:
http://www.openssl.org/news/patch_20020730_0_9_7.txt
* Deshabilitar las Aplicaciones o Servicios Vulnerables
Hasta que las soluciones para estas vulnerabilidades puedan ser
aplicadas, se pueden deshabilitar todas las aplicaciones que
utilicen implementaciones vulnerables de OpenSSL. Los sistemas con
la preliberación 0.9.7 con Kerberos habilitado también necesitan
deshabilitar Kerberos para protegerse contra VU#561275. Como una
mejor práctica, el CERT/UNAM-CERT recomiendan deshabilitar todos
los servicios que no son explicitamente requeridos. Antes de
decidir deshabiltiar SSL o TSL, se debe considerar cuidadosamente
el impacto que tendrá en los servicios de red.
Deshabilitando handshaking en SSLv2 previene la explotación de
VU#102795. Sin embargo, debido a la naturaleza de los errores de
codificación ASN.1, tales sitios podría permanecer vulnerables a
ataques de negación de servicio.
APÉNDICE A. Información de Distribuidores
-----------------------------------------
Este Apéndice contiene información proporcionada por los
distribuidores de éste boletín. Tan pronto como los distribuidores
reporten nueva información al CERT/UNAM-CERT, se actualizará esta
sección. Si un distribuidor en particular no se encuentra listado
a continuación, significa que no se han recibido comentarios de su
parte.
OpenLDAP
OpenLDAP Project utiliza OpenSSL. La reconstrucción de
OpenLDAP con versiones actualizadas de OpenSSL debería
cubrir los problemas reportados en este documento.
Aquellos que utilizan paquetes de versiones de OpenLDAP
deberían contactar a su distribuidor de paquetes para
actualizar la información.
OpenSSL
Consulte
http://www.openssl.org/news/secadv_20020730.txt.
Red Hat
Red Hat distribuye versiones afectadas de OpenSSL en
todos las distribuciones de Linux Red Hat, así como el
servidores web Stronghold. Los paquetes errata de Linux
Red Hat solucionan las vulnerabilidades antes
mencionadas (CAN-2002-0655 y CAN-2002-0656), y están
disponibles en el URL listado a continuación. Los
Usuarios de Redes Red Hat pueden actualizar sus sistemas
utilizando la herramienta "up2date". Una futura
actualización solucionará el ataque DoS remoto en la
codificación ASN. 1 ( CAN-2002-0659)
http://rhn.redhat.com/errata/RHSA-2002-155.html
INFORMACIÓN
-----------
Éste documento se encuentra disponible en su formato original en
la siguiente dirección:
http://www.cert.org/advisories/CA-2002-023.html
Para mayor información acerca de éste boletín de seguridad
contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850
iQEVAwUBPUcqJXAvLUtwgRsVAQEP7wf+MTu7m9jdNRQlCALRylqERJJm/HPi3bfk
Rwqc10+A59qPzQTOd6MbXBYpu3JhJbjzhKZdTTH7GVTGGdGgZyIR0eh78urnhHGx
8Lr41oShiwxIWhjn373wWMZIPDYW6wuGWTc5gOT8qNtQyI1XtH4DtfPE0zYj+gHY
SeM6XjZ5hD2Nts23sbu0T0hudhwaiGPczEyCuHjdf3HLBCWrJWuNgFMqcyhQJKWU
f/kONk46X/cLikwPLBGJiRHHwOHflq5dr83mBH/WtMQ14i36EL4n8iatOtblj2Mi
0epkoQhSFvTfwmxD4oufmnuHJu2q6PPkXL4ofCbOWqvPXlyaXsSXvQ==
=Tnxj
-----END PGP SIGNATURE-----
---------------------------------------------------------------------
Lista de soporte de LinuxPPP
Reglas de la lista en http://linuxppp.com/reglas.html