Alert GCSA-16014 - Vulnerabilita' in OpenSSL (DROWN)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
**********************************************************************
Alert ID: GCSA-16014
Data: 02 marzo 2016
Titolo: Alert GCSA-16014 - Vulnerabilita' in OpenSSL (DROWN)
**********************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versioni di OpenSSL
che risolvono alcune vulnerabila' presenti nel software.
L'aggiornamento risolve 6 vulnerabilita' e disabilita
gli algoritmi di cifratura deboli che possono essere
sfruttati per compiere attacchi di tipo DROWN (CVE-2016-0800)
e SLOTH (CVE-2015-7575).
La vulnerabilita' DROWN (Decrypting RSA using Obsolete and Weakened eNcryption)
affligge il protocollo SSLv2.
Il traffico di rete criptato con un certificato SSL basato su RSA
puo' essere decriptato se e' possibile collezionare una quantita'
sufficiente di dati di handshake SSLv2.
Maggiori dettagli sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Software interessato
OpenSSL versioni precedenti alla 1.0.1s
OpenSSL versioni precedenti alla 1.0.2g
:: Impatto
Denial of Service
Rivelazione di informazioni sensibili
Intercettazione di dati
Accesso non autorizzato
:: Soluzioni
Aggiornare OpenSSL tramite gli upgrade
del proprio sistema operativo,
o scaricando il software dal seguente link
https://www.openssl.org/source/
:: Riferimenti
OpenSSL Security Advisory
https://www.openssl.org/news/secadv/20160301.txt
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0702
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0703
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0704
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0705
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0797
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0798
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0799
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0800
The DROWN Attack
http://drownattack.com/
US-CERT
https://www.us-cert.gov/ncas/current-activity/2016/03/01/SSLv2-DROWN-Attack
CERT Vulnerability Note
https://www.kb.cert.org/vuls/id/583776
ISC SANS
https://isc.sans.edu/diary.html?storyid=20785
https://isc.sans.edu/diary.html?storyid=20789
Prohibiting Secure Sockets Layer (SSL) Version 2.0
https://tools.ietf.org/html/rfc6176
CERT Nazionale Italia
https://www.certnazionale.it/bollettini/2016/03/02/vulnerabilita-critica-di-openssl-drown/
RedHat
https://access.redhat.com/security/vulnerabilities/drown
http://rhn.redhat.com/errata/RHSA-2016-0301.html
http://rhn.redhat.com/errata/RHSA-2016-0302.html
http://rhn.redhat.com/errata/RHSA-2016-0303.html
http://rhn.redhat.com/errata/RHSA-2016-0304.html
http://rhn.redhat.com/errata/RHSA-2016-0305.html
Debian Security Advisory
https://www.debian.org/security/2016/dsa-3500
Ubuntu Security Notice
http://www.ubuntu.com/usn/usn-2914-1/
SecurityTracker
http://www.securitytracker.com/id/1035133
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iD8DBQFW1sG1wZxMk2USYEIRAjlFAKCSTPiFUqRSFF/8avkF3F2UFjeYzgCeLDMO
TV2yh9GJ0t4prtEqhwCy8M4=
=htRV
-----END PGP SIGNATURE-----
Hash: SHA1
**********************************************************************
Alert ID: GCSA-16014
Data: 02 marzo 2016
Titolo: Alert GCSA-16014 - Vulnerabilita' in OpenSSL (DROWN)
**********************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versioni di OpenSSL
che risolvono alcune vulnerabila' presenti nel software.
L'aggiornamento risolve 6 vulnerabilita' e disabilita
gli algoritmi di cifratura deboli che possono essere
sfruttati per compiere attacchi di tipo DROWN (CVE-2016-0800)
e SLOTH (CVE-2015-7575).
La vulnerabilita' DROWN (Decrypting RSA using Obsolete and Weakened eNcryption)
affligge il protocollo SSLv2.
Il traffico di rete criptato con un certificato SSL basato su RSA
puo' essere decriptato se e' possibile collezionare una quantita'
sufficiente di dati di handshake SSLv2.
Maggiori dettagli sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Software interessato
OpenSSL versioni precedenti alla 1.0.1s
OpenSSL versioni precedenti alla 1.0.2g
:: Impatto
Denial of Service
Rivelazione di informazioni sensibili
Intercettazione di dati
Accesso non autorizzato
:: Soluzioni
Aggiornare OpenSSL tramite gli upgrade
del proprio sistema operativo,
o scaricando il software dal seguente link
https://www.openssl.org/source/
:: Riferimenti
OpenSSL Security Advisory
https://www.openssl.org/news/secadv/20160301.txt
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0702
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0703
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0704
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0705
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0797
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0798
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0799
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0800
The DROWN Attack
http://drownattack.com/
US-CERT
https://www.us-cert.gov/ncas/current-activity/2016/03/01/SSLv2-DROWN-Attack
CERT Vulnerability Note
https://www.kb.cert.org/vuls/id/583776
ISC SANS
https://isc.sans.edu/diary.html?storyid=20785
https://isc.sans.edu/diary.html?storyid=20789
Prohibiting Secure Sockets Layer (SSL) Version 2.0
https://tools.ietf.org/html/rfc6176
CERT Nazionale Italia
https://www.certnazionale.it/bollettini/2016/03/02/vulnerabilita-critica-di-openssl-drown/
RedHat
https://access.redhat.com/security/vulnerabilities/drown
http://rhn.redhat.com/errata/RHSA-2016-0301.html
http://rhn.redhat.com/errata/RHSA-2016-0302.html
http://rhn.redhat.com/errata/RHSA-2016-0303.html
http://rhn.redhat.com/errata/RHSA-2016-0304.html
http://rhn.redhat.com/errata/RHSA-2016-0305.html
Debian Security Advisory
https://www.debian.org/security/2016/dsa-3500
Ubuntu Security Notice
http://www.ubuntu.com/usn/usn-2914-1/
SecurityTracker
http://www.securitytracker.com/id/1035133
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iD8DBQFW1sG1wZxMk2USYEIRAjlFAKCSTPiFUqRSFF/8avkF3F2UFjeYzgCeLDMO
TV2yh9GJ0t4prtEqhwCy8M4=
=htRV
-----END PGP SIGNATURE-----