Categorias

o-android-13-tem-codinome-interno-vazado-a-aposta-agora-e-a-sobremesa-tiramisu

Android

Games

Notícias

Tutoriais

youtube-duplica-a-acessibilidade-com-novos-recursos

Vídeos

Notícias

10/12/2020 às 10:40

4 min leitura

Avatar Autor
Por Leonardo Santana

OpenSSL é afetado por uma falha de segurança. Atualize agora!

OpenSSL é afetado por uma falha de segurança. Atualize agora!
Rate this post

O OpenSSL Project alertou sobre uma falha de segurança de “alta gravidade” no kit de ferramentas TLS/SSL que expõe os usuários a ataques de negação de serviço (DoS). A vulnerabilidade foi relatada pelo pesquisador do Google, David Benjamin.

O alerta publicado pelo OpenSSL Project diz:

O tipo X.509 GeneralName é um tipo genérico para representar diferentes tipos de nomes. Um desses tipos de nome é conhecido como EDIPartyName. O OpenSSL fornece uma função GENERAL_NAME_cmp que compara diferentes instâncias de GENERAL_NAME para ver se são iguais ou não.

Esta função se comporta incorretamente quando os dois GENERAL_NAMEs contêm um EDIPARTYNAME. Uma falha pode ocorrer, levando a um possível ataque de negação de serviço.

OpenSSL é afetado por falha de segurança

A falha deriva da função GENERAL_NAME_cmp que compara diferentes instâncias de GENERAL_NAME usando certificados X.509.

OpenSSL é afetado por uma falha de segurança. Atualize agora!

O Projeto OpenSSL alertou sobre uma vulnerabilidade de segurança de “alta gravidade” no kit de ferramentas TLS/SSL.

A função GENERAL_NAME_cmp é usada para as seguintes finalidades:

  • Comparar nomes de pontos de distribuição de CRL entre uma CRL disponível e um ponto de distribuição de CRL embutido em um certificado X509.
  • Ao verificar se um signatário do token de resposta do carimbo de data/hora corresponde ao nome da autoridade do carimbo de data/hora (exposto por meio das funções de API TS_RESP_verify_response e TS_RESP_verify_token).

Um invasor pode acionar um confronto controlando os dois itens que estão sendo comparados. Isso é possível, por exemplo, se o invasor conseguir enganar um cliente ou servidor para que verifique um certificado malicioso em uma CRL maliciosa.

A falha afeta todas as versões do OpenSSL 1.1.1 e 1.0.2; os usuários são incentivados a atualizar para o OpenSSL 1.1.1i.

Por fim, caso queira ler mais matérias sobre código aberto, Linux, Android, hardware, internet, programação e ficar atualizado com as novidades do mundo da tecnologia, acompanhe as matérias no canal do Sempre Update no Telegram.

Security Affairs

Profissional da área de manutenção e redes, astrônomo amador, eletrotécnico e apaixonado por TI desde o século passado.

Rate this post

Últimos artigos

Newsletter

Receba nossas atualizações!

Newsletter

Receba nossas atualizações!
  • Este campo é para fins de validação e não deve ser alterado.