blob: 296d08990070fb217feb5b3d3abc1ca2849068d9 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>vulnerabilidad en el análisis de ASN.1</define-tag>
<define-tag moreinfo>
<p>Steve Henson, del equipo central de desarrollo de OpenSSL, identificó
y preparó correcciones para varias vulnerabilidades del código ASN1 de
OpenSSL, que fueron descubiertas tras correr una suite de pruebas del
Centro de Coordinación de Seguridad de Infraestructuras Nacional británico
(NISCC).</p>
<p>También se identificó un error en el protocolo SSL/TLS, que causaba que
OpenSSL analizara el certificado de un cliente SSL/TLS en vez de rechazarlo
como un error del protocolo.</p>
<p>El proyecto Exposiciones y Vulnerabilidades Comunes (n.t. CVE)
identificó los siguienes problemas:</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0543">CAN-2003-0543</a>:
<p>Desbordamiento de entero en OpenSSL que permitía a los atacantes remotos
provocar una denegación de servicio (por caída) por medio de un
certificado SSL de clente con unos valores determinados en ciertas
etiquetas ASN.1.</p>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0544">CAN-2003-0544</a>:
<p>OpenSSL no recogía adecuadamente el número de caracteres de varias
entradas ASN.1, lo que permitía a los atacantes remotos provocar una
denegación de servicio (por caída) por medio de un certificado SSL de
cliente que provocara que OpenSSL leyera más allá del final de un buffer
cuando se usaba la forma larga.</p>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0545">CAN-2003-0545</a>:
<p>Una vulnerabilidad de doble liberación permitía a los atacantes remotos
provocar una denegación de servicio (por caída) y posiblemente ejecutar
código arbitrario vía un certificado SSL de cliente con una determinada
codificación ASN.1 no válida. Este error sólo estaba presente en
OpenSSL 0.9.7 y se lista aquí sólo como referencia.</p>
</ul>
<p>Para la distribución estable (woody), este problema se ha corregido en
la versión 0.9.5a-6.woody.3 de openssl0.95.</p>
<p>Este paquete no está ni en la distribución inestable (sid), ni en
testing (sarge).</p>
<p>Le recomendamos que actualice los paquetes de libssl095a y reinicie los
servicios que usen esta biblioteca. Debian no publica ningún paquete que
se enlace con esta biblioteca.</p>
<p>La línea de comandos que se reproduce a continuación (cortesía de Ray
Dassen) produce una lista con los nombres de los procesos que están
corriendo y que tienen libssl095 mapeado en su espacio de memoria:</p>
<pre>
find /proc -name maps -exec egrep -l 'libssl095' {} /dev/null \; \
| sed -e 's/[^0-9]//g' | xargs --no-run-if-empty ps --no-headers -p | \
sed -e 's/^\+//' -e 's/ \+/ /g' | cut -d ' ' -f 5 | sort | uniq
</pre>
<p>Debería reiniciar los servicios asociados.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-394.data"
|
