Nueva vulnerabilidad RCE en OpenSSL
INTRODUCCIÓN
Se ha encontrado una nueva vulnerabilidad en la versión 3.0.4 de OpenSSL que podría conducir a la ejecución remota de código.
ANÁLISIS
La versión 3.0.4 de OpenSSL ha introducido un grave error en la implementación de RSA para las CPUs X86_64 que soportan las instrucciones AVX512IFMA. Este problema hace que la implementación de RSA con claves privadas de 2048 bits sea incorrecta en dichas máquinas y que se produzca una corrupción de memoria durante el cálculo. Como consecuencia de la corrupción de memoria, un atacante puede ser capaz de desencadenar una ejecución remota de código en la máquina que realiza el cálculo.
La vulnerabilidad ha sido calificada como Severidad: Alta pero no se ha atribuido ninguna puntuación CVSS hasta el momento.
Versiones afectadas:
- 3.0.4
OpenSSL 1.1.1 y 1.0.2 no están afectadas por este problema.
RECOMENDACIONES
Los usuarios de la versión 3.0.4 de OpenSSL deben actualizar a OpenSSL 3.0.5.