FERRAMENTAS LINUX: Atualização do Arch Linux para corrigir uma negação de serviço, aviso ArchLinux: 202004-18

quinta-feira, 23 de abril de 2020

Atualização do Arch Linux para corrigir uma negação de serviço, aviso ArchLinux: 202004-18



Confira !!


O pacote openssl antes da versão 1.1.1.g-1 é vulnerável à negação de serviço.
Comunicado de Segurança do Arch Linux ASA-202004-18
==========================================

Gravidade: alta
Data: 2020-04-21
CVE-ID: CVE-2020-1967
Pacote: openssl
Tipo: negação de serviço
Remoto: Sim
Link: https://security.archlinux.org/AVG-1139

Sumário
=======

O pacote openssl antes da versão 1.1.1.g-1 é vulnerável à negação de
serviço.

Resolução
==========

Atualize para 1.1.1.g-1.

# pacman -Syu "openssl> = 1.1.1.g-1"

O problema foi corrigido na versão 1.1.1.g.

Gambiarra
==========

Nenhum.

Descrição
===========

Uma dereferência de ponteiro NULL foi encontrada nas versões 1.1.1d do OpenSSL,
1.1.1e 1.1.1f. Aplicativos de servidor ou cliente que chamam o
A função SSL_check_chain () durante ou após um handshake TLS 1.3 pode
falha devido a uma desreferência de ponteiro NULL como resultado de uma operação incorreta
manipulação da extensão TLS "signature_algorithms_cert". O acidente
ocorre se um algoritmo de assinatura inválido ou não reconhecido for recebido
do par. Isso pode ser explorado por um par malicioso em uma negação
ataque de serviço.

Impacto
======

Um servidor ou cliente mal-intencionado pode travar um processo openssl / libssl ao
fornecendo um handshake SSL criado com códigos maliciosos

Referências
==========

https://www.openssl.org/news/secadv/20200421.txt
https://github.com/openssl/openssl/commit/eb563247aef3e83dda7679c43f9649270462e5b1
https://security.archlinux.org/CVE-2020-1967


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário