Bucle infinito en OpenSSL

Fecha de publicación: 16/03/2022

Importancia:
Alta

Recursos afectados:

OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:

  • clientes TLS que consumen certificados de servidor;
  • servidores TLS que consumen certificados de clientes;
  • proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
  • autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
  • cualquier otra cosa que analice parámetros de curva elíptica ASN.1.

Descripción:

Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podría provocar un bucle infinito.

Solución:

  • OpenSSL 1.0.2 debe actualizarse a la versión 1.0.2zd (sólo para clientes de soporte premium);
  • OpenSSL 1.1.1 debe actualizarse a la versión 1.1.1n;
  • OpenSSL 3.0 debe actualizarse a la versión 3.0.2.

Detalle:

La función BN_mod_sqrt(), que calcula una raíz cuadrada modular, contiene un error que podría provocar un bucle infinito para módulos no primos. Sería posible desencadenar el bucle infinito si se crea un certificado que tiene parámetros de curva explícitos no válidos. Se ha asignado el identificador CVE-2022-0778 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, SSL/TLS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.