Vulnerabilidad: CVE-2021-3449

Un servidor TLS de OpenSSL puede fallar si se le envía un mensaje ClientHello de renegociación malintencionado desde un cliente. Si un ClientHello de renegociación de TLSv1.2 omite la extensión signature_algorithms (cuando estaba presente en el ClientHello inicial), pero incluye una extensión signature_algorithms_cert, se producirá una derivación de puntero NULL, lo que provocará un fallo y un ataque de denegación de servicio. Un servidor sólo es vulnerable si tiene TLSv1.2 y la renegociación activada (que es la configuración por defecto). Los clientes TLS de OpenSSL no se ven afectados por este problema. Todas las versiones de OpenSSL 1.1.1 están afectadas por este problema. Los usuarios de estas versiones deben actualizar a OpenSSL 1.1.1k. Este problema no afecta a OpenSSL 1.0.2. Corregido en OpenSSL 1.1.1k (Afectado 1.1.1-1.1.1j).


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
https://security.netapp.com/advisory/ntap-20210326-0006/
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fb9fa6b51defd48157eeb207f52181f735d96148
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=fb9fa6b51defd48157eeb207f52181f735d96148
https://www.openssl.org/news/secadv/20210325.txt
https://www.openssl.org/news/secadv/20210325.txt
https://www.debian.org/security/2021/dsa-4875
https://security.FreeBSD.org/advisories/FreeBSD-SA-21:07.openssl.asc
http://www.openwall.com/lists/oss-security/2021/03/27/1
http://www.openwall.com/lists/oss-security/2021/03/27/2
http://www.openwall.com/lists/oss-security/2021/03/28/3
http://www.openwall.com/lists/oss-security/2021/03/28/4
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449


Es posible dejar un comentario como usuario registrado del sitio, accediendo a través de las redes sociales, la cuenta de wordpress o como usuarios anónimos. Si desea dejar un comentario como usuario anónimo, se le notificará por correo electrónico una posible respuesta sólo si introduce su dirección de correo electrónico (opcional). La inclusión de cualquier dato en los campos de comentario es totalmente opcional. Quien decida introducir algún dato acepta el tratamiento de los mismos para las finalidades inherentes al servicio o la respuesta a los comentarios y comunicaciones estrictamente necesarias.


Deja un comentario