 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | Duas vulnerabilidades no OpenSSLOpenSSL Security Advisory [17 March 2004] [CAIS, 18.03.2004-16:34, revisão 01] O CAIS está repassando os alertas divulgados pelo OpenSSL, intitulados "Null-pointer assignment during SSL handshake" e "Out-of-bounds read affects Kerberos ciphersuites", tratando de duas vulnerabilidades nas versões atuais da biblioteca OpenSSL que podem causar negação de serviço (DoS - Denial of Service) em programas que a utilizam. A primeira vulnerabilidade afeta uma função do protocolo TLS, e pode permitir a um atacante remoto ocasionar a negação de serviço em aplicativos que utilizam a biblioteca OpenSSL, apenas enviando um pacote especialmente construído que causa um erro de null-pointer. A segunda vulnerabilidade afeta o processo de handshake do protocolo SSL/TLS quando se utiliza criptografia Kerberos. Um atacante remoto pode criar um pacote de handshake especialmente construído de forma a resultar na negação de serviço em aplicativos que utilizam a biblioteca OpenSSL. Sistemas afetados:
Correções disponíveis: Recomenda-se fazer a atualização para as versões mais recentes disponíveis em: Além disso, recomenda-se recompilar todos os aplicativos que foram compilados estaticamente com a biblioteca OpenSSL. Maiores informações: Identificadores do CVE (http://cve.mitre.org):
O CAIS recomenda aos administradores manterem seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versões e correções disponibilizadas pelos fabricantes. |  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
