Fecha de publicaciĂłn: 02/11/2022
Importancia:
Alta
Recursos afectados:
OpenSSL, versiones desde 3.0.0 hasta 3.0.6.
El NCSC-NL ha publicado un listado con informaciĂłn sobre las versiones incluidas por varios fabricantes.
DescripciĂłn:
Los investigadores, Polar Bear y Viktor Dukhovni, han reportado 2 vulnerabilidades de severidad alta que podrĂan permitir a un atacante causar una condiciĂłn de denegaciĂłn de servicio o realizar una ejecuciĂłn remota de cĂłdigo.
SoluciĂłn:
Actualizar OpenSSL a la versiĂłn 3.0.7.
Detalle:
Las dos vulnerabilidades publicadas se producen al realizar la comprobaciĂłn de restricciones de nombres durante la verificaciĂłn de certificados X.509, ya que se podrĂa producir un desbordamiento de bĂșfer. Un atacante podrĂa crear una direcciĂłn de correo electrĂłnico maliciosa para desbordar 4 bytes controlados en la pila (CVE-2022-3602) o para desbordar un nĂșmero arbitrario de bytes que contengan el carĂĄcter ‘.’ correspondiente al valor 46 en decimal (CVE-2022-3786).
Ambas vulnerabilidades podrĂan producirse en un cliente TLS al conectarse a un servidor malicioso. En un servidor TLS, podrĂan desencadenarse si el servidor solicita la autenticaciĂłn del cliente, y se conecta un cliente malicioso.
Etiquetas:
ActualizaciĂłn, Comunicaciones, SSL/TLS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.