Denegación de servicio en OpenSSL

l primero de los mencionados problemas de seguridad reside en la función "do_change_cipher_spec()" y afecta desde la versión 0.9.6.c a la 0.9.61 de OpenSSL, y de la 0.9.7a a la 0.9.7c, ambas inclusive. Por su parte, la segunda vulnerabilidad afecta a las versiones 0.9.7a, 0.9.7b y 0.9.7c, y tiene su origen en las funciones Kerberos.

Adicionalmente a las citadas versiones, otras aplicaciones -que utilizan las funciones de OpenSSL- pueden encontrarse afectadas. Las consecuencias del ataque son similares en todos los casos, provocando la no disponibilidad del servicio.

Se recomienda, a los usuarios cuyos equipos puedan resultar vulnerables, que instalen la versión 0.9.7d ó la 0.9.6m de OpenSSL.

Más información en: http://www.openssl.org/news/secadv_20040317.txt

* OpenSSL es un proyecto Open Source que tiene como objetivo ofrecer desarrollos de los protocolos Secure Sockects Layer (SSL v2/v3) y Transport Layers Security (TLS v1), así como una biblioteca de herramientas criptográficas de propósito general. Disponible para diversas plataformas, incluida Windows, destaca por su amplia distribución en entornos Unix/Linux.