Alerta de Vulnerabilidade - OpenSSL 1.1.0

Foram recentemente publicadas duas vulnerabilidades relacionadas com a versão do OpenSSL 1.1.0.

De entre todas as vulnerabilidades identificadas, a primeira é que requer mais atenção, no entanto qualquer uma das vulnerabilidaes exploradas com sucesso pode conduzir a uma paragem (“crash”) do serviço OpenSSL.

1. ChaCha20/Poly1305 heap-buffer-overflow (CVE-2016-7054)

Esta vulnerabilidade está relacionada com as ligações TLS que utilizem a cifra “ChaCha20-Poly1305”. Esta cifra é susceptivel a ataques de DoS.

O OpenSSL Project indicou que até ao momento não existem evidências de que a vulnerabilidade identificada seja explorada para além de um ataque DoS.

Nota: A vulnerabilidade identificada acima não afecta as versões do OpenSSL anteriores a 1.1.0 .

2. CMS Null dereference (CVE-2016-7053)

Esta vulnerabilidade está relacionada com um “bug” no manuseamento do “ASN.1 Choice type” da versão OpenSSL 1.1.0. A gestão das bibliotecas “ASN.1 Choice type” podem crashar se forem efetuadas referências ao ponteiro NULL em estruturas CMS inválidas.

Uma vez explorada qualquer destas vulnerabilidades com sucesso, o atacante pode conseguir parar (“crashar”) os serviços baseados em OpenSSL.

Actualização da versão de OpenSSL actual para a versão 1.1.0c.

OpenSSL:

https://www.openssl.org/news/secadv/20161110.txt

https://www.openssl.org/news/vulnerabilities.html#y2016

Treatpost:

https://threatpost.com/openssl-patches-high-severity-denial-of-service-bug/121913/

Thehackernews:

http://thehackernews.com/2016/11/openssl-patch-update.html