Denegación de servicio en OpenSSL

Fecha de publicación: 
17/02/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • OpenSSL v1.1.0

La versión 1.0.2 no está afectada por esta vulnerabilidad y la versión 1.0.1 y anteriores ya no reciben actualizaciones de seguridad.

Descripción: 

Se ha identificado un fallo en OpenSSL que podría ser aprovechado por un atacante remoto para provocar la denegación del servicio.

Solución: 

La versión 1.1.0 debe actualizarse a 1.1.0e que se puede bajar desde el sitio oficial de OpenSSL o desde su repositorio Github.

Detalle: 

Durante la fase incial (handshake) de una renegociación, si la extensión Encrypt-Then-Mac se incluye en el renegociado cuando no se incluyó en el negociado original, podría ocasionar que OpenSSL dejara de funcionar, circunstancia que podría aprovechar un atacante remoto con acceso a la red interna para provocar una denegación de servicio. Se ha reservado el identificador CVE-2017-3733 para esta vulnerabilidad.