A20031002: Vulnerabilidades em implementações dos protocolos SSL e TSL

Categoria: Alertas

quinta, 02 outubro 2003 11:16

Sistemas Operativos Implicados:	Indefinido
Aplicações Implicadas:	SSL/TSL

Existem várias vulnerabilidades em diferentes implementações dos protocolos SSL (Secure Sockets Layer) e TSL (Transport Layer Security). Alerta de segurança
Identificação: A20031002
Data publicação: 02-Out-2003
Referências/fontes: CERT/CC (www.cert.org)

CERT.PT (www.cert.pt)

I. Assunto

Existem várias vulnerabilidades em diferentes implementações dos
protocolos SSL (Secure Sockets Layer) e TSL (Transport Layer Security).

II. Descrição

O SSL e TSL são usados para providenciar autenticação, cifra e serviços
de integridade para aplicações de rede como o HTTP. Existem várias
vulnerabilidades na implementação destes protocolos, como por exemplo no
software openssl. Consultar "Informações adicionais" para uma listagem
mais completa de alguns dos sistemas afectados.

III. Impacto

O impacto varia, na maior parte dos casos um atacante remoto pode causar
uma negação de serviço.
Para pelo menos uma vulnerabilidade, no software openssl, um atacante
remoto pode conseguir executar código arbitrário.

IV. Sistemas vulneráveis/afectados

* Versões do OpenSSL anteriores à 0.9.7c e 0.9.6k
* Várias implementações de SSL/TLS
* SSLeay library

V. Resolução

Fazer upgrade ou aplicar remendo do fabricante.

VI. Informações adicionais

Informação do CERT/CC:
http://www.cert.org/advisories/CA-2003-26.html

Informação da Cisco:
http://www.cisco.com/warp/public/707/cisco-sa-20030930-ssl.shtml