• Atualizações no OpenSSL Corrigem Vulnerabilidades

    Publicado em 03-06-2010 17:38
    0 Comentários Comentários
    Os desenvolvedores do OpenSSL anunciaram o lançamento das versões 0.9.8o e 1.0.0a, com a intenção de corrigir dois problemas de segurança que foram encontrados. Uma falha no parser ASN.1 pode ser explorada (através da memória) utilizando endereços inválidos especialmente criados nas estruturas Cryptographic Message Syntax (CMS). A referida falha permite que um código arbitrário em potencial possa ser injetado, a fim de comprometer todo um sistema.



    A ocorrência de um buffer não inicializado na função EVP_PKEY_verify_recover() na versão 1.0.0 pode ser explorada, possibilitando a criação de uma chave RSA inválida, fazendo com que a mesma pareça válida. O CMS não é ativado por padrão no OpenSSL 0.9.8, mas ele está habilitado na versão 1.0.0. Além disso, pouquíssimas aplicações têm utilizado essa função, cuja introdução foi feita recentemente. Portanto a dimensão deste problema é limitada. Os desenvolvedores do OpenSSL dizem que o pkeyutl é atualmente uma das únicas ferramentas OpenSSL para acessar essa função.


    Saiba Mais:

    [1] OpenSSL : http://www.openssl.org/source/
    + Enviar Comentário