Se ha publicado la versión 1.0.0e de OpenSSL que soluciona dos vulnerabilidades.
OpenSSL es un proyecto para desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3), de los protocolos de seguridad en la capa de transporte (TLS v1) así como de una librería criptográfica de propósito general.
La primera de las vulnerabilidades corregidas, identificada como CVE-2011-3207, es un error al validar CRL. Este fallo permite a un atacante validar como correcto un certificado especialmente diseñado, por ejemplo haciendo uso de X509_V_FLAG_CRL_CHECK o X509_V_FLAG_CRL_CHECK_ALL.
El segundo fallo solucionado es un error en ‘ephemeral ECDH ciphersuites’, que permite provocar una denegación de servicio a través de peticiones en un orden incorrecto. Como contramedida se puede desactivar ‘ephemeral ECDH ciphersuites’. Este fallo se ha identificado con el CVE-2011-3210.
Más información:
OpenSSL Security Advisory:
http://www.openssl.org/news/secadv_20110906.txt
Tomado de Hispasec.com