Fecha de publicación: 16/03/2022
Importancia:
Alta
Recursos afectados:
OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:
- clientes TLS que consumen certificados de servidor;
- servidores TLS que consumen certificados de clientes;
- proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
- autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
- cualquier otra cosa que analice parámetros de curva elÃptica ASN.1.
Descripción:
Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podrÃa provocar un bucle infinito.
Solución:
- OpenSSL 1.0.2 debe actualizarse a la versión 1.0.2zd (sólo para clientes de soporte premium);
- OpenSSL 1.1.1 debe actualizarse a la versión 1.1.1n;
- OpenSSL 3.0 debe actualizarse a la versión 3.0.2.
Detalle:
La función BN_mod_sqrt(), que calcula una raÃz cuadrada modular, contiene un error que podrÃa provocar un bucle infinito para módulos no primos. SerÃa posible desencadenar el bucle infinito si se crea un certificado que tiene parámetros de curva explÃcitos no válidos. Se ha asignado el identificador CVE-2022-0778 para esta vulnerabilidad.
Etiquetas:
Actualización, SSL/TLS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.