Lo último:
Portada

Vulnerabilidades en TLS de Mbed

Gustavo Genez

Fecha de publicación: 06/02/2018

Importancia:
Alta

Recursos afectados:

  • Versiones de Mbed 1.3.0 y superiores.
  • Versiones 2.1 y publicacioens posteriores.

Descripción:

Encontradas dos vulnerabilidades de criticidad alta en Mbed las cuales podrían permitir la ejecución remota de código.

Solución:

Actualizar Mbed TLS a las versiones 1.3.22, 2.1.10 o 2.7.0

Detalle:

Las vulnerabilidades encontradas en protocolo TLS de Mbed permitirían la ejecución de código arbitrario.

  • La primera vulnerabilidad se encuentra cuando la extensión HMAC es activada y CBC es usado, permitiendo enviar un paquete malicioso que podría ser utilizado para corromper 6 bytes de la pila (peer’s heap). Permitiendo un cierre inesperado o la ejecución remota de código. Esta vulnerabilidad podría ser ejecutada en cada extremo de las conexiones TLS o DTLS. El identificador reservado para esta vulnerabilidad es el CVE-2018-0488
  • La segunda vulnerabilidad es efectiva cuando la verificación de la firma RSASSA-PSS esta activa, un atacante podría enviar un certificado construido maliciosamente que podría causar un desbordamiento de búfer en la pila (peer’s stack). Pudiendo causar un cierre inesperado o la ejecución remota de código. Esta vulnerabilidad podría ser ejecutada en cada extremo de las conexiones TLS o DTLS. El identificador reservado para esta vulnerabilidad es el CVE-2018-0487

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Vulnerabilidad de redirección abierta en WebSphere Portal de IBM

Gustavo Genez

Vulnerabilidad en controladores gráficos de Intel

Gustavo Genez

Múltiples vulnerabilidades en productos de F5

Gustavo Genez