esenfrdeitptru

OpenSSL corrige dos vulnerabilidades de gravedad alta

AS-087-2022

Fecha: 7/Nov/2022

Notificado por: Correo-CTI-FIRST

Resumen:

El Proyecto OpenSSL ha parcheado dos fallas de seguridad de gravedad alta en su biblioteca criptográfica de código abierto utilizada para cifrar canales de comunicación y conexiones HTTPS.

Descripción de la vulnerabilidad.

Estas vulnerabilidades se pueden aprovechar enviando un certificado X.509 con una dirección de correo electrónico especialmente diseñada, lo que puede provocar un desbordamiento del búfer que provoque un bloqueo o una ejecución remota de código (RCE). X.509 es el estándar que define el formato de los certificados de clave pública, comúnmente utilizado en protocolos que incluyen TLS y firmas digitales. Es importante destacar que estas vulnerabilidades pueden afectar tanto al cliente como al servidor, a diferencia de la mayoría de las vulnerabilidades que normalmente afectan a uno u otro, lo que amplía la superficie de ataque potencial.

Estas vulnerabilidades podrían tener un gran impacto ya que OpenSSL se usa ampliamente y la versión afectada está incluida en algunas de las principales distribuciones de Linux. Sin embargo, la versión afectada se lanzó hace poco tiempo, en septiembre de 2021, por lo que es posible que la adopción no sea tan generalizada como las versiones anteriores, como 1.1.1 y 1.0.2, que actualmente no se ven afectadas por esta vulnerabilidad.

Recomendaciones:

Las vulnerabilidades (CVE-2022-3602 y CVE-2022-3786) afectan a OpenSSL versión 3.0.0 y posteriores y se han corregido en OpenSSL 3.0.7, por lo que se solicita migrar en forma urgente.

Referencias:

https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/

https://www.openssl.org/news/secadv/20221101.txt

https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html

https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md

https://blog.talosintelligence.com/openssl-vulnerability/