Vulnerabilidades en OpenSSL 

Se han reportado dos vulnerabilidades en OpenSSL, que permitirían a un atacante realizar ejecución remota de código (RCE) y obtener información confidencial. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 1 (una) de severidad “Baja”. Las mismas se detallan a continuación: 

• CVE-2022-2274, de severidad “Alta” y puntuación asignada de 8.5. Esta vulnerabilidad se debe a un error en la implementación de RSA para X86_64 CPU. Un atacante remoto podría enviar una solicitud especialmente diseñada para aprovechar la vulnerabilidad, provocando desbordamiento de buffer y ejecución remota de código (RCE) en el sistema afectado. 

• CVE-2022-2097, de severidad “Baja” y puntuación asignada de 3.2. Esta vulnerabilidad se debe a un error en el modo AES OCB para plataformas x86 de 32 bits. Un atacante remoto podría enviar una solicitud especialmente diseñada para aprovechar la vulnerabilidad y acceder a información confidencial. 

Las versiones afectadas de los productos de OpenSSL son: 

• OpenSSL, versiones 1.1.0 al 1.1.0l. 
• OpenSSL, versiones 1.1.1 al 1.1.1p. 
• OpenSSL, versiones 3.0.0 al 3.0.4. 

Recomendamos acceder a las actualizaciones provistas por OpenSSL en el siguiente enlace: 

• https://www.openssl.org/source/ 

Referencias: 

• https://www.cybersecurity-help.cz/vdb/SB2022070509 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-2274 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-2097 

• https://www.openssl.org/source/