Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad 0-byte record padding oracle en OpenSSL

Fecha de publicación: 28/02/2019

Importancia: Media

Recursos afectados:

  • OpenSSL 1.0.2

Descripción:

OpenSSL ha publicado una vulnerabilidad de tipo 0-byte record padding oracle que podría permitir a un atacante remoto descifrar datos y obtener información confidencial.

Solución:

  • Actualizar a las versiones 1.0.2r o 1.1.1

Actualmente solo reciben actualizaciones de seguridad OpenSSL las versiones 1.0.2 y 1.1.0. Para la versión 1.0.2, el soporte finalizará el 31 de diciembre de 2019 y para la versión 1.1.0, el 11 septiembre de 2019. Los usuarios de estas versiones deben actualizar a OpenSSL 1.1.1

Detalle:

  • Si una aplicación encuentra un error fatal de protocolo y luego llama dos veces a la función SSL_shutdown(), una para enviar close_notify y otra para recibirlo, OpenSSL podría responder de forma diferente a la aplicación que llama, dependiendo de si recibe un registro de 0 bytes con un padding inválido o de si recibe un registro de 0 bytes con una MAC inválida. Si la aplicación se comporta de forma diferente a lo esperado por el remote peer, se podrían descifrar datos y obtener información confidencial mediante un ataque de padding oracle. Se ha asignado el identificador CVE-2019-1559 para esta vulnerabilidad.

Etiquetas: Actualización, SSL/TLS, Vulnerabilidad