Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a OpenSSL, que permitirían a un atacante descifrar los datos de la aplicación, provocar denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 1 (uno) de severidad de “Alta” y 7 (siete) de severidad de “Media”. Las principales se detallan a continuación:
- CVE-2023-0286, de severidad “Alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en la verificación de certificados X.509, específicamente en el objeto GeneralName. Esto permitiría a un atacante, desencadenar la lectura del contenido en la memoria y provocar denegación de servicios (DoS) en el sistema afectado.
- CVE-2022-4304 de severidad “Media”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla existente en OpenSSL RSA Decryption. Esto permitiría a un atacante remoto realizar divulgación de información confidencial y descifrado de datos enviados a través de la red.
- CVE-2022-4203 de severidad “Media”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en la verificación de certificados X.509. Esto permitiría a un atacante remoto obtener acceso no autorizado a información confidencial, provocar lectura fuera de los límites y leer el contenido de la memoria en el sistema.
Puede acceder al listado completo de vulnerabilidades, aquí.
Las versiones afectadas son:
- OpenSSL, versión 3.0 a 3.0.7, 1.1.1 y 1.0.2.
Recomendamos instalar las actualizaciones correspondientes provistas por el proveedor en los siguientes enlaces:
Referencias:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0286
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4304
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4203
- https://www.openssl.org/source/
- https://www.openssl.org/source/openssl-1.1.1t.tar.gz
- https://www.openssl.org/source/openssl-3.0.8.tar.gz