Últimos Cambios
Mi estado actual en Jabber/XMPP: - jabberES - jabber.org

Diversas vulnerabilidades en Stunnel

Última Actualización: 9 de Febrero de 2.001 - Viernes

Las versiones previas a la 3.11 de Stunnel contienen diversas vulnerabilidades que hacen que su uso resulte inseguro.

Stunnel es una herramienta que permite hacer un "forwarding" de puertos TCP/IP entre dos máquinas que lo estén ejecutando, utilizando tecnología SSL para asegurar la autenticidad, la integridad y la confidencialidad de las transmisiones.

Las versiones previas a la 3.11 contienen tres vulnerabilidades:

• El generador de números pseudoaleatorios contiene errores que hacen que sus valores sean predecibles, comprometiendo la calidad criptográfica de la sesión y de las claves generadas con esta herramienta.

• El programa genera un fichero "pid" (donde se almacena el PID del proceso) de forma insegura, siendo vulnerable a ataques a través de enlaces simbólicos.

• El uso de la función "syslog()" es incorrecto, siendo vulnerable a ataques de formato.

Se recomienda a todos los usuarios de Stunnel que actualicen a la versión 3.11 o superior cuanto antes.

Más información:

• Stunnel Homepage

• Stunnel

• DSA-009-1 stunnel: insecure file handling, format string bug

• Red Hat Linux General Security Advisory

• Red Hat Linux General Security Advisory

• Exploit remoto no stunnel e outros bugfixes

• stunnel contains potencial remote compromise

• Diversas vulnerabilidades en Stunnel (Página residente en Hispasec)
• Hispasec
• Artículos
• La Página de Jesús Cea Avión

©2001 jcea@jcea.es