Se han reportado dos vulnerabilidades en OpenSSL, que permitirían a un atacante realizar ejecución remota de código (RCE) y obtener información confidencial.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 1 (una) de severidad “Baja”. Las mismas se detallan a continuación:
- CVE-2022-2274, de severidad “Alta” y puntuación asignada de 8.5. Esta vulnerabilidad se debe a un error en la implementación de RSA para X86_64 CPU. Un atacante remoto podría enviar una solicitud especialmente diseñada para aprovechar la vulnerabilidad, provocando desbordamiento de buffer y ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-2097, de severidad “Baja” y puntuación asignada de 3.2. Esta vulnerabilidad se debe a un error en el modo AES OCB para plataformas x86 de 32 bits. Un atacante remoto podría enviar una solicitud especialmente diseñada para aprovechar la vulnerabilidad y acceder a información confidencial.
Las versiones afectadas de los productos de OpenSSL son:
- OpenSSL, versiones 1.1.0 al 1.1.0l.
- OpenSSL, versiones 1.1.1 al 1.1.1p.
- OpenSSL, versiones 3.0.0 al 3.0.4.
Recomendamos acceder a las actualizaciones provistas por OpenSSL en el siguiente enlace:
- https://www.openssl.org/source/
Referencias: