Novo round de vulnerabilidades descobertas no OpenSSL ( algumas já resolvidas )

Que é algo normal a descoberta de vulnerabilidade em softwares todos sabemos. Mas o OpenSSL anda pegando pesado né  ? Aliás, todas as bibliotecas relacionadas ao SSL andam me dando medo , e bota medo nisto. 

Não são vulnerabilidades tal qual o Heartbleed as publicas no site do OpenSSL, mas os potenciais exploits que poderão ser criados a partir das CVEs publicadas podem gerar problemas , ou seja, man-in-the-middle, ataques de negação de serviço e execuções arbitrárias de código. 

Os novos reports que foram publicados são : 

  • SSL/TLS MITM vulnerability (CVE-2014-0224) - DTLS recursion flaw (CVE-2014-0221
  • DTLS invalid fragment vulnerability (CVE-2014-0195)
  • SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
  • SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
  • Anonymous ECDH denial of service (CVE-2014-3470)

Mais informações podem ser encontradas aqui.

Além disto uma rápida olhada no report publicado pelo pessoal do próprio projeto OpenSSL pode clarear mais as coisas.