Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Actualización de IBM InfoSphere Information Server OpenSSL

  • Publicado: 08/05/2019
  • Importancia: Alta

Recursos afectados

Múltiples vulnerabilidades en IBM InfoSphere Information Server, que pueden ser explotadas para divulgar información confidencial y causar una DoS (denegación de servicios).

Productos afectados:

IBM InfoSphere Information Server 9.x

IBM InfoSphere Information Server 11.x

CVE-2018-0735: El algoritmo de firma OpenSSL ECDSA es vulnerable a un ataque de canal de sincronización. Un atacante podría usar variaciones en el algoritmo de firma para recuperar la clave privada.

Productos afectados:

OpenSSL 1.1.0-1.1.0i

Corregido en OpenSSL 1.1.1

CVE-2018-0734: Se ha demostrado que el algoritmo de firma OpenSSL DSA es vulnerable a un ataque de canal de sincronización. Un atacante podría usar variaciones en el algoritmo de firma para robar la clave privada.

Productos afectados:

OpenSSL 1.1.1

OpenSSL 1.1.0-1.1.0i  

OpenSSL 1.0.2-1.0.2p

CVE-2018-0732: Durante el acuerdo de claves en un handshake de TLS usando un ciphersuite basado en DH(E), un servidor malicioso podría enviar un valor primario muy grande al usuario. Esto hará que el cliente pase un período de tiempo irrazonablemente largo generando una llave, lo que resultará en una suspensión hasta que el cliente haya terminado. Esto podría ser explotado en un ataque de denegación de servicio.

Productos afectados:

OpenSSL 1.1.0-1.1.0h.

OpenSSL 1.0.2-1.0.2o.

Etiquetas