Varias vulnerabilidades en mbed TLS de ARM

Fecha de publicación: 
20/04/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • mbed TLS1.4 y superiores
  • mbed TLS 2.4.0 y mbed 2.4.1
  • versiones de mbed TLS anteriores a 1.3.19
  • versiones de mbed TLS anteriores a 2.1.7
  • versiones de mbed TLS anteriores a 2.4.2
Descripción: 

Se han publicado tres vulnerabilidades (una de criticidad alta) en el software mbed TLS de ARM que podrían permitir a un atacante remoto la ejecución de código remoto o provocar la denegación del servicio.  

Solución: 

Actualizar a las siguientes versiones que solucionan estas vulnerabilidades:

  • mbed TLS 1.3.19 
  • mbed TLS 2.1.7
  • mbed TLS 2.4.2.
Detalle: 

La vulnerabilidad, de criticidad alta, puede ser provocada por un certificado con una llave pública secp224k1 especialmente manipulada que haga que el servidor o el cliente intenten librerar un bloque de memoria de la pila. Según la plataforma sobre la que se ejecute la vulnerabilidad se puede provocar DoS o ejecución de código remoto. 

Etiquetas: