Top 5 razões para implantar VMware com Tegile
Poodle Se você estiver usando a biblioteca de criptografia OpenSSL open source popular, você tem mais com que se preocupar do que a recentemente divulgada POODLE (Padding Oracle On criptografia herdado degradado) vulnerabilidade, devs do projeto têm alertado.
Além de remendar dois bugs relacionados Poodle, novas versões do OpenSSL emitido na quarta-feira também fechar um par de vazamentos de memória que pode permitir que atacantes para lançar ataques de negação de serviço contra servidores OpenSSL habilitados.
O mais grave deles é um bug no código do OpenSSL para o seguro em Tempo Real Transfer Protocol (SRTP), apelidado CVE-2014-3513 . Um invasor que envia uma mensagem de handshake SRTP malicioso cuidadosamente elaborada para que o servidor possa enganá-lo em não liberar o máximo 64KB de memória. Se isso acontecer várias vezes, o servidor irá esgotar a memória disponível, resultando em degradação de desempenho ou um acidente.
O erro SRTP só existe em OpenSSL 1.0.1, mas que pode ser explorada, independentemente de SRTP está configurado ou a ser utilizada pelo servidor. Sem a atualização de quarta-feira, a única maneira de evitar a vulnerabilidade é construir as bibliotecas OpenSSL com o OPENSSL_NO_SRTP em tempo de compilação opção ativada.
Um segundo vazamento de memória, identificada como CVE-2014-3567 , afeta as versões do OpenSSL que remontam ao 0.9.8 e envolve o servidor não ter memória livre quando ele recebe um bilhete de sessão inválido. Tal como acontece com o bug SRTP, um atacante que envia um grande número de tickets de sessão inválidos podem potencialmente derrubar o servidor.
Manchas de quarta-feira também oferecem duas atenuações poodle. O primeiro é a correção de software do núcleo que foi recomendado pelo Google, quando se divulgou a vuln POODLE, que é para adicionar suporte para TLS_FALLBACK_SCSV , a Transport Layer Security Sinalização Cipher Suíte Valor que servidores quadras da desclassificação conexões TLS para o SSL inferior protocolo 3.0.
O segundo correções CVE-2014-3568 , um bug específico do OpenSSL que permite que clientes e servidores para enviar e completas SSL 3.0 apertos de mão, mesmo quando as bibliotecas são compilados com o "no_ssl3" opção construir.
Patches para todos os quatro erros foram liberados na quarta-feira para os últimos três versões do OpenSSL, se for caso disso. As versões corrigidas das bibliotecas são OpenSSL 0.9.8zc, 1.0.0o e 1.0.1j, todos os três que pode ser baixado do oficial do projeto website . O aviso de segurança completo está disponível aqui . ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário