Notificar incidente

Alertas de Segurança

Alerta de Vulnerabilidade - OpenSSL 1.1.0

tipo Vulnerabilidades
Sistemas afetadosOpenSSL 1.1.0
Ecossistema Outro

Descrição

Foram recentemente publicadas duas vulnerabilidades relacionadas com a versão do OpenSSL 1.1.0.

De entre todas as vulnerabilidades identificadas, a primeira é que requer mais atenção, no entanto qualquer uma das vulnerabilidaes exploradas com sucesso pode conduzir a uma paragem (“crash”) do serviço OpenSSL.


1. ChaCha20/Poly1305 heap-buffer-overflow (CVE-2016-7054)

Esta vulnerabilidade está relacionada com as ligações TLS que utilizem a cifra “ChaCha20-Poly1305”. Esta cifra é susceptivel a ataques de DoS.

O OpenSSL Project indicou que até ao momento não existem evidências de que a vulnerabilidade identificada seja explorada para além de um ataque DoS.

Nota: A vulnerabilidade identificada acima não afecta as versões do OpenSSL anteriores a 1.1.0 .


2. CMS Null dereference (CVE-2016-7053)

Esta vulnerabilidade está relacionada com um “bug” no manuseamento do “ASN.1 Choice type” da versão OpenSSL 1.1.0. A gestão das bibliotecas “ASN.1 Choice type” podem crashar se forem efetuadas referências ao ponteiro NULL em estruturas CMS inválidas.

impacto

Uma vez explorada qualquer destas vulnerabilidades com sucesso, o atacante pode conseguir parar (“crashar”) os serviços baseados em OpenSSL.

Resolução

Actualização da versão de OpenSSL actual para a versão 1.1.0c.