Descripción: Las implementaciones (1) TLS y (2) DTLS en OpenSSL 1.0.1 antes 1.0.1g no maneja correctamente los paquetes de la Extensión Heartbeat, esto permite a los atacantes remotos obtener información confidencial de la memoria de proceso a través de paquetes diseñados que activan una lectura excesiva del búfer, como se demuestra al leer claves privadas, relacionado con d1_both.c and t1_lib.c, aka el Heartbleed bug.

CVE: CVE-2014-0160
Factor de Riesgo: Medio
Valor CVSS Base: 5.0

Solución:
Actualizar OpenSSL a su última versión. Como alternativa, vuelva a compilar OpenSSL con el indicador ‘-DOPENSSL_NO_HEARTBEATS’ para deshabilitar la funcionalidad vulnerable.

Referencias:

https://zh-tw.tenable.com/plugins/nnm/7108

https://nvd.nist.gov/vuln/detail/CVE-2014-0160

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like