Un nuevo parche de seguridad de OpenSSL introduce otro bug aún peor.

Que MAL Yo aun con la OpenSSL 1.0.2g-fips  1 Mar 2016

Mejor ni actualizar asta que no este estable Open SSL.

El problema más grave de los anunciados el pasado día 22, con CVE-2016-6304, reside en que a un cliente malicioso puede solicita la renegociación de forma continua mediante el envío de una extensión OCSP Status Request excesivamente larga de manera progresiva. Esto provocará un crecimiento de la memoria del servidor fuera de límites, con la consiguiente denegación de servicio por consumo excesivo de memoria.


OpenSSL con versiones anteriores a la 1.0.1g no son vulnerables en la configuración por defecto, 

:P
Otra vulnerabilidad de gravedad media, con CVE-2016-6305, afecta a OpenSSL 1.1.0 debido a que SSL/TLS podrá colgarse durante una llamada a SSL_peek() si el interlocutor envía un registro vacío. Un usuario malicioso podría provocar condiciones de denegación de servicio.

http://blog.elhacker.net/2016/09/un-nuevo-parche-de-seguridad-de-openssl-introduce-otro-bug-aun-peor-rce.html

No hay comentarios: