Lo último:
Portada

Vulnerabilidades en TLS de Mbed

Gustavo Genez

Fecha de publicación: 06/02/2018

Importancia:
Alta

Recursos afectados:

  • Versiones de Mbed 1.3.0 y superiores.
  • Versiones 2.1 y publicacioens posteriores.

Descripción:

Encontradas dos vulnerabilidades de criticidad alta en Mbed las cuales podrían permitir la ejecución remota de código.

Solución:

Actualizar Mbed TLS a las versiones 1.3.22, 2.1.10 o 2.7.0

Detalle:

Las vulnerabilidades encontradas en protocolo TLS de Mbed permitirían la ejecución de código arbitrario.

  • La primera vulnerabilidad se encuentra cuando la extensión HMAC es activada y CBC es usado, permitiendo enviar un paquete malicioso que podría ser utilizado para corromper 6 bytes de la pila (peer’s heap). Permitiendo un cierre inesperado o la ejecución remota de código. Esta vulnerabilidad podría ser ejecutada en cada extremo de las conexiones TLS o DTLS. El identificador reservado para esta vulnerabilidad es el CVE-2018-0488
  • La segunda vulnerabilidad es efectiva cuando la verificación de la firma RSASSA-PSS esta activa, un atacante podría enviar un certificado construido maliciosamente que podría causar un desbordamiento de búfer en la pila (peer’s stack). Pudiendo causar un cierre inesperado o la ejecución remota de código. Esta vulnerabilidad podría ser ejecutada en cada extremo de las conexiones TLS o DTLS. El identificador reservado para esta vulnerabilidad es el CVE-2018-0487

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Vulnerabilidad de desbordamiento de búfer en VirtualBox

Gustavo Genez

Actualizaciones críticas en Oracle (Julio 2018)

Gustavo Genez

Vulnerabilidades en el servidor de aplicaciones WebSphere de IBM

Gustavo Genez