El equipo de OpenSSL Project ha
anunciado recientemente la publicación de la versión 3.0.7 de OpenSSL para que esté disponible el martes, desde el 1 de noviembre entre el 1300-1700 UTC. La actualización es una corrección de seguridad para una vulnerabilidad de OpenSSL 3.0.x. que recomendamos encarecidamente a los desarrolladores y administradores priorizar la corrección de las instancias de OpenSSL 3 en su entorno cuando se corrige el martes.
Este artículo se actualizará a medida que se disponga de más información.
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
El 1 de noviembre de 2022, el OpenSSL publicó una notificación sobre CVE-2022-3786 ("desbordamiento del búfer de la dirección de correo
electrónico de la direcci? x. 509") y CVE-2022-3602 ("desbordamiento del búfer de 4 bytes"). CVE-2022-3602 fue evaluado originalmente por el proyecto OpenSSL como crítico, pero se redujo a una gravedad alta. Puede encontrar más información sobre esto en la
publicación del blogde OpenSSL correspondiente. Se puede encontrar información adicional en esta
publicación de blogde Trellix.
El boletín de seguridad
SB10390 también está disponible ahora.
CVE-2022-3602
Se puede activar una saturación del búfer en la verificación de certificados X. 509, en concreto en la comprobación de restricciones de nombre. Tenga en cuenta que esto ocurre después de la comprobación de la firma de la cadena de certificados y requiere que una autoridad de certificación haya firmado un certificado malicioso o que una aplicación pueda continuar con la comprobación de certificados a pesar de que no se puede construir una ruta a un emisor de confianza. Un atacante puede diseñar una dirección de correo electrónico maliciosa en un certificado para desbordar un número arbitrario de bytes que contengan el carácter '. ' (decimal 46) en la pila. Este desbordamiento del búfer podría acarrear un bloqueo (lo que provocaría una denegación de servicio). En un cliente TLS, esto se puede activar conectándose a un servidor malicioso. En un servidor TLS, esto se puede activar si el servidor solicita la autenticación del cliente y se conecta un cliente malicioso.
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-3602
https://CVE.Mitre.org/cgi-bin/cvename.cgi?Name=CVE-2022-3602
CVE-2022-3786
Se puede activar una saturación del búfer en la verificación de certificados X. 509, en concreto en la comprobación de restricciones de nombre.
Tenga en cuenta que esto ocurre después de la comprobación de la firma de la cadena de certificados y requiere que una autoridad de certificación haya firmado un certificado malicioso o que una aplicación pueda continuar con la comprobación de certificados a pesar de que no se puede construir una ruta a un emisor de confianza. Un atacante puede diseñar una dirección de correo electrónico maliciosa en un certificado para desbordar un número arbitrario de bytes que contengan el carácter '. ' (decimal 46) en la pila. Este desbordamiento del búfer podría acarrear un bloqueo (lo que provocaría una denegación de servicio). En un cliente TLS, esto se puede activar conectándose a un servidor malicioso. En un servidor TLS, esto se puede activar si el servidor solicita la autenticación del cliente y se conecta un cliente malicioso.
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-3786
https://CVE.Mitre.org/cgi-bin/cvename.cgi?Name=CVE-2022-3786