Fecha de publicaciĂłn: 08/02/2023
Importancia:
Alta
Recursos afectados:
OpenSSL, versiones:
- desde 3.0 hasta 3.0.7;
- 1.1.1;
- 1.0.2.
DescripciĂłn:
OpenSSL ha publicado un aviso que recoge 8 vulnerabilidades: 1 de severidad alta y 7 de severidad media, cuya explotaciĂłn podrĂa permitir a un atacante leer el contenido de la memoria, provocar una denegaciĂłn de servicio, descifrar los datos de la aplicaciĂłn enviados a travĂ©s de una conexiĂłn o provocar un fallo en la aplicaciĂłn.
SoluciĂłn:
Actualizar a las siguientes versiones:
- 3.0.8;
- 1.1.1t;
- 1.0.2zg (solo disponible para clientes con soporte premium).
Detalle:
La vulnerabilidad de severidad alta consiste en una confusiĂłn de tipos relacionada con el procesamiento de direcciones del estĂĄndar X.400 dentro del objeto GeneralName del estĂĄndar X.509. Las direcciones X.400 se analizaban como ASN1_STRING, pero la definiciĂłn de la estructura pĂșblica para GeneralName especificaba incorrectamente el tipo del campo como ASN1_TYPE. Cuando la comprobaciĂłn de CRL (Certificate Revocation List) estĂĄ habilitada, esta vulnerabilidad podrĂa permitir a un atacante transmitir punteros arbitrarios a una llamada de la funciĂłn memcmp, permitiĂ©ndole leer el contenido de la memoria o provocar una denegaciĂłn de servicio. Se ha asignado el identificador CVE-2023-0286 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-4304, CVE-2022-4203, CVE-2023-0215, CVE-2022-4450, CVE-2023-0216, CVE-2023-0217 y CVE-2023-0401.
Etiquetas:
ActualizaciĂłn, SSL/TLS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.