Vulnerabilidad de inyección de comandos en OpenSSL (CVE-2022-2068)

ANÁLISIS

La explotación de la vulnerabilidad es posible debido a que el script c_rehash no sanea adecuadamente los metacaracteres del shell para evitar la inyección de comandos. Este script es distribuido por algunos sistemas operativos de manera que se ejecuta automáticamente.  En dichos sistemas operativos, un atacante podría ejecutar comandos arbitrarios con los privilegios del script.

Productos afectados:

• 1.0.2
• 1.1.1
• 3.0

Nota:

• OpenSSL 1.1.0 está fuera de soporte y ya no recibe actualizaciones de ningún tipo.
• No se ha analizado el impacto de estos problemas en OpenSSL 1.1.0.

RECOMENDACIONES

• Los usuarios de OpenSSL 1.0.2 deben actualizar a la versión 1.0.2zf (sólo para clientes con soporte premium)
• Los usuarios de OpenSSL 1.1.1 deben actualizarse a la versión 1.1.1p
• Los usuarios de OpenSSL 3.0 deben actualizarse a la versión 3.0.4

REFERENCIAS

https://www.openssl.org/news/secadv/20220621.txt
https://securityonline.info/cve-2022-2068-openssl-command-injection-vulnerability/