Múltiples vulnerabilidades en OpenSSL

Fecha de publicación: 08/02/2023

Importancia:
Alta

Recursos afectados:

OpenSSL, versiones:

  • desde 3.0 hasta 3.0.7;
  • 1.1.1;
  • 1.0.2.

Descripción:

OpenSSL ha publicado un aviso que recoge 8 vulnerabilidades: 1 de severidad alta y 7 de severidad media, cuya explotación podría permitir a un atacante leer el contenido de la memoria, provocar una denegación de servicio, descifrar los datos de la aplicación enviados a través de una conexión o provocar un fallo en la aplicación.

Solución:

Actualizar a las siguientes versiones:

  • 3.0.8;
  • 1.1.1t;
  • 1.0.2zg (solo disponible para clientes con soporte premium).

Detalle:

La vulnerabilidad de severidad alta consiste en una confusión de tipos relacionada con el procesamiento de direcciones del estándar X.400 dentro del objeto GeneralName del estándar X.509. Las direcciones X.400 se analizaban como ASN1_STRING, pero la definición de la estructura pública para GeneralName especificaba incorrectamente el tipo del campo como ASN1_TYPE. Cuando la comprobación de CRL (Certificate Revocation List) está habilitada, esta vulnerabilidad podría permitir a un atacante transmitir punteros arbitrarios a una llamada de la función memcmp, permitiéndole leer el contenido de la memoria o provocar una denegación de servicio. Se ha asignado el identificador CVE-2023-0286 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-4304, CVE-2022-4203, CVE-2023-0215, CVE-2022-4450, CVE-2023-0216, CVE-2023-0217 y CVE-2023-0401.

Encuesta valoración

Etiquetas:
Actualización, SSL/TLS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.