Alertas

OpenSSL lanza un parche para dos nuevas vulnerabilidades de alta gravedad

02 Nov 2022

INTRODUCCIÓN

El proyecto OpenSSL ha lanzado correcciones para contener dos fallos de alta gravedad en su biblioteca de criptografía, ampliamente utilizada, que podrían dar lugar a una denegación de servicio (DoS) y a la ejecución remota de código.
Los problemas, rastreados como CVE-2022-3602 y CVE-2022-3786, se han descrito como vulnerabilidades de desbordamiento de búfer que pueden activarse durante la verificación de certificados X.509 mediante el suministro de una dirección de correo electrónico especialmente diseñada.

ANÁLISIS

CVE-2022-3602, Puntuación CVSSV3:8.8

Puede producirse un desbordamiento del búfer en la verificación de certificados X.509, concretamente en la comprobación de restricciones de nombres. Tenga en cuenta que esto ocurre después de la verificación de la firma de la cadena de certificados y requiere que una CA haya firmado el certificado malicioso o que la aplicación continúe con la verificación del certificado a pesar de no haber construido una ruta hacia un emisor de confianza. Un atacante puede crear una dirección de correo electrónico maliciosa para desbordar cuatro bytes controlados por el atacante en la pila. Este desbordamiento del búfer podría dar lugar a un fallo (causando una denegación de servicio) o potencialmente a la ejecución remota de código.

CVE-2022-3786, Puntuación CVSSV3:7.5

Puede producirse un desbordamiento de búfer en la verificación de certificados X.509, concretamente en la comprobación de restricciones de nombres. Tenga en cuenta que esto ocurre después de la verificación de la firma de la cadena de certificados y requiere que una CA haya firmado un certificado malicioso o que una aplicación continúe con la verificación de certificados a pesar de no haber construido una ruta hacia un emisor de confianza. Un atacante puede crear una dirección de correo electrónico maliciosa en un certificado para desbordar un número arbitrario de bytes que contengan el carácter `.' (decimal 46) en la pila. Este desbordamiento del búfer podría dar lugar a un fallo (causando una denegación de servicio). En un cliente TLS, esto puede ser desencadenado por la conexión a un servidor malicioso. En un servidor TLS, esto puede desencadenarse si el servidor solicita la autenticación del cliente y un cliente malicioso se conecta.

Versiones afectadas:

Versión 3.0.0 hasta la 3.0.6.

RECOMENDACIONES

Actualizar a OpenSSL 3.0.7

REFERENCIAS

https://www.openssl.org/news/vulnerabilities.html
https://thehackernews.com/2022/11/just-in-openssl-releases-patch-for-2.html

Cookie	Duración	Descripción
_GRECAPTCHA	6 meses	El servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-analytics	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 año	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria	1 año	Establecido por el complemento de consentimiento de cookies de GDPR para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente el estado de CCPA. Funciona solo en coordinación con la cookie principal.

OpenSSL lanza un parche para dos nuevas vulnerabilidades de alta gravedad

INTRODUCCIÓN

ANÁLISIS

RECOMENDACIONES

REFERENCIAS

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día