OpenSSL anuncia atualizações contra diversas vulnerabilidades

Em um comunicado, a OpenSSL anunciou diversas atualizações, tanto para as versões cliente quanto servidor, visando proteger seus usuários contra várias vulnerabilidades, a citar: vulnerabilidade SSL/TLS MITM (CVE-2014-0224), falha de recursão DTLS (CVE-2014-0221), vulnerabilidade de fragmento DLTS inválido (CVE-2014-0195), vulnerabilidade no ponteiro de dereferência SSL_MODE_RELEASE_BUFFERS NULL (CVE-2014-0198), injeção em sessão ou negação de serviço em SSL_MODE_RELEASE_BUFFERS (CVE-2010-5298), negação de serviço em ECDH anônimo (CVE-2014-3470).

As descrições das vulnerabilidades e demais informações, tais como: versões afetadas, atualizações, maneira como a vulnerabilidade foi anunciada e quem desenvolveu a solução, podem ser encontradas de forma detalhada no comunicado da OpenSSL, através do link. Vale ressaltar que cada vulnerabilidade afeta determinadas versões, sendo portanto aconselhável que os usuários se informem sobre as versões afetadas e as atualizados lançadas.

Além das atualizações contra as vulnerabilidades citadas, no final do comunicado é informado que as versões OpenSSL 1.0.0m e OpenSSL 0.9.8za contêm também uma correção para a vulnerabilidade CVE-2014-0076, que foi descrita no documento “Recovering OpenSSL ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack”, relatado por Yuval Yarom e Naomi Benger. Segundo a organização, essa questão havia sido anteriormente resolvida na versão OpenSSL 1.0.1g.

Maiores informações através do link.