Aggiornamenti di sicurezza per OpenSSL

04/05/2016

In data 03/05/2016, sono state rilasciate le versioni 1.0.2h e 1.0.1t di OpenSSL le quali includono aggiornamenti di sicurezza di cui all’advisory SedAdv20160503 riportante le specifiche dei CVE assegnati alle vulnerabilità riportate. Di seguito il dettaglio:

CVE-2016-2108 (Severity: Alta): il vendor informa che la combinazione di due bug che singolarmente non afferiscono alla sicurezza ed i quali sono già stati corretti con gli aggiornamenti di Aprile 2015, può causare corruzione di memoria applicativa con conseguenze inaspettate. Possono considerarsi fuori pericolo gli utenti che utilizzano le versioni di OpenSSL 1.0.2c e 1.0.1o.

CVE-2016-2107 (Severity: Alta): un attaccante che viene a trovarsi in una situazione di tipo MITM, può utilizzare tecniche di attacco di tipo padding oracle al fine di decifrare il traffico, quando la connessione usa l’algoritmo AES CBC ed il server supporta AES-NI.

CVE-2016-2105 (Severity: Bassa): è possibile causare un overflow di memoria nella funzione EVP_EncodeUpdate(), la quale si occupa per l’encoding Base64 dei dati binari. Qualora un malintenzionato sia in grado di sottoporre una grande quantità di dati, il controllo delle dimensioni di queste può fallire causando corruzione della memoria di heap. Il vendor sottolinea che il rischio reale si ha per applicazioni che utilizzano OpenSSL a linea di comando. L’uso interno della funzione EVP_EncodeUpdate() non è quindi considerato vulnerabile.

CVE-2016-2106 (Severity: Bassa): è possibile causare un overflow di memoria nella funziona EVP_EncryptUpdate() qualora questa processi una grande quantità di dati. Da analisi svolte dal vendor risulta comunque che la vulnerabilità è calmierata dall’uso interno della funzione stessa e da come questa viene richiamata all’interno del pacchetto applicativo.

CVE-2016-2109 (Severity: Bassa): quando funzioni del componente BIO leggono dati di tipo ASN.1, qualora all’interno di questi sia presente una stringa predisposta ad hoc, è possibile causare un’allocazione di memoria eccessiva, fino all’esaurimento delle risorse di sistema. Il vendor sottolinea che le librerie TLS non sono affette dalla vulnerabilità.

CVE-2016-2176 (Severity: Bassa): stringhe ASN.1 di dimensioni maggiorni di 1024 byte possono causare overread in applicazioni che usano la funzione X509_NAME_oneline() su sistemi EBCDIC.

Versioni rilasciate