Ausencia de notificación de error en OpenSSL
OpenSSL 3.4, 3.3 y 3.2.
OpenSSL ha publicado una vulnerabilidad de severidad alta en los protocolos de enlace (handsake) RFC7250 que podría dar lugar a ataque man-in-the-middle.
Actualizar a las versiones OpenSSL 3.4.1, 3.3.3 y 3.2.4.
Los clientes que usan claves públicas sin formato (RPK) RFC7250 para autenticar un servidor, pueden no notar que el servidor no se ha autenticado, porque los protocolos de enlace (handsake) no se cancelan como se esperaba cuando se establece el modo de verificación SSL_VERIFY_PEER. La vulnerabilidad afecta a las conexiones TLS y DTLS que utilizan claves públicas sin procesar. Su explotación podría provocar ataques de intermediarios (man-in-the-middle) cuando no se detecta el fallo de autenticación del servidor.
La vulnerabilidad tiene asignado el identificador CVE-2024-12797.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.