FERRAMENTAS LINUX: A Canonical libera importantes atualizações de OpenSSL para o Ubuntu para corrigir 6 vulnerabilidades

quarta-feira, 1 de fevereiro de 2017

A Canonical libera importantes atualizações de OpenSSL para o Ubuntu para corrigir 6 vulnerabilidades



Os sistemas afetados incluem Ubuntu 12.04, 14.04,16.04 e 16.10


O Marc Deslauriers da Canonical anunciou anteriormente a disponibilidade de pacotes OpenSSL atualizados para todos os sistemas operacionais suportados do Ubuntu Linux, que abordam diversas vulnerabilidades descobertas recentemente.

De acordo com o Aviso de Segurança Ubuntu USN-3181-1 , afigura-se que um total de seis questões de segurança foram fixados por vários desenvolvedores nos pacotes OpenSSL incluídos no Ubuntu. Esses pacotes fornecem a biblioteca criptográfica Secure Socket Layer (SSL) e as ferramentas necessárias para várias aplicações.

Descoberto por Guido Vranken, a primeira falha de segurança OpenSSL ( CVE-2016-2177 ) pode permitir a um atacante remoto para explorar um comportamento indefinido ao executar a aritmética de ponteiro para causar uma negação de serviço ao bater OpenSSL. Esta vulnerabilidade está afetando apenas as versões Ubuntu 12.04 LTS e Ubuntu 14.04 LTS.

O CVE-2016-7055 e o CVE-2016-8610 (descoberto por Shi Lei) questões de segurança OpenSSL sugerem que o software não poderia lidar com Montgomery multiplicação corretamente, nem alguns alertas de aviso, que podem levar a falhas transientes ou permitir que um atacante remoto causar Uma negação de serviço fazendo com que o OpenSSL deixe de responder. O primeiro só afeta Ubuntu 16.04 LTS e Ubuntu 16.10.

Outra vulnerabilidade OpenSSL ( CVE-2.016-7.056 ) fixo nesta atualização mostra que as bibliotecas libssl não poderia usar corretamente operações de tempo constante ao realizar ECDSA P-256 de assinatura, o que poderia ter permitido que um atacante remoto para recuperar chaves ECDSA privadas através da realização Um ataque de tempo. O problema afeta apenas Ubuntu 12.04 LTS e Ubuntu 14.04 LTS.

Duas outras falhas de segurança OpenSSL, CVE-2017-3731 , descoberto por Robert Swiecki e o CVE-2017-3732 , pode permitir que atacantes remotos para causar uma negação de serviço ao bater OpenSSL ou recuperar chaves privadas porque OpenSSL caso de manipulação incorreta certos pacotes truncados e executou O x86_64 Montgomery quadratura procedimento. O último só está afetando Ubuntu 16.04 LTS e Ubuntu 16.10.
"A Canonical recomenda que todos os usuários do Ubuntu atualizem seus PCs imediatamente"

Esses problemas afetam todos os SOs Ubuntu suportados, incluindo Ubuntu 12.04 LTS (Precise Pangolin), Ubuntu 14.04 LTS (Trusty Tahr), Ubuntu 16.04 LTS (Xenial Xerus) e Ubuntu 16.10 (Yakkety Yak), e os usuários são instados a atualizar suas instalações para Libssl1.0.0 1.0.2g no Ubuntu 16.10 e Ubuntu 16.04 LTS, bem como libssl1.0.0 1.0.1f e 1.0.1 no Ubuntu 14.04 LTS e Ubuntu 12.04 LTS, respectivamente.

A Canonical recomenda que todos os usuários do Ubuntu Linux atualizem suas instalações imediatamente para as novas versões do pacote OpenSSL mencionadas acima. Para atualizar seu sistema, basta abrir o gerenciador de pacotes de sua escolha (por exemplo, Gerenciador de Pacotes Synaptic, APT ou Ubuntu Software), verificar se há atualizações e instalar as novas versões. A empresa fornece mais informações em https://wiki.ubuntu.com/Security/Upgrades .




Até a próxima!!!

Nenhum comentário:

Postar um comentário