Múltiples vulnerabilidades en OpenSSL

Fecha de publicación: 02/11/2022

Importancia:
Alta

Recursos afectados:

OpenSSL, versiones desde 3.0.0 hasta 3.0.6.

El NCSC-NL ha publicado un listado con información sobre las versiones incluidas por varios fabricantes.

Descripción:

Los investigadores, Polar Bear y Viktor Dukhovni, han reportado 2 vulnerabilidades de severidad alta que podrían permitir a un atacante causar una condición de denegación de servicio o realizar una ejecución remota de código.

Solución:

Actualizar OpenSSL a la versión 3.0.7.

Detalle:

Las dos vulnerabilidades publicadas se producen al realizar la comprobación de restricciones de nombres durante la verificación de certificados X.509, ya que se podría producir un desbordamiento de búfer. Un atacante podría crear una dirección de correo electrónico maliciosa para desbordar 4 bytes controlados en la pila (CVE-2022-3602) o para desbordar un número arbitrario de bytes que contengan el carácter ‘.’ correspondiente al valor 46 en decimal (CVE-2022-3786).

Ambas vulnerabilidades podrían producirse en un cliente TLS al conectarse a un servidor malicioso. En un servidor TLS, podrían desencadenarse si el servidor solicita la autenticación del cliente, y se conecta un cliente malicioso.

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, SSL/TLS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.