Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades de desbordamiento de buffer en la librería OpenSSL, que permitirían a un atacante realizar ejecución remota de código (RCE) y denegación de servicios (DoS) en el sistema afectado.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad de “Alta”. Las cuales se detallan a continuación:
- CVE-2022-3602 y CVE-2022-3786 de severidad “Alta”, sin una puntuación asignada aún. Estas vulnerabilidades se deben a un desbordamiento de buffer en la verificación de certificados X.509, específicamente en la comprobación de restricciones de nombre. Esto ocurre después de la comprobación de la firma de la cadena de certificados y requiere que una CA (Certificate Authority) haya firmado el certificado malintencionado o que la aplicación continúe la verificación del certificado a pesar de que no se haya podido validar una ruta de acceso a un emisor de confianza. Esto permitiría a un atacante a través de una dirección de correo electrónico maliciosa especialmente diseñada incluida en el certificado a ser validado por la víctima, desencadenar un buffer overflow y de esta manera provocar ejecución remota de código (RCE) y denegación de servicios (DoS) en el sistema afectado.
Las versiones afectadas son:
- OpenSSL, versión 3.0.0 a 3.0.6
Recomendamos instalar las actualizaciones correspondientes provistas por el proveedor en el siguiente enlace:
Referencias:
- https://thehackernews.com/2022/11/just-in-openssl-releases-patch-for-2.html
- https://www.securityweek.com/anxiously-awaited-openssl-vulnerabilitys-severity-downgraded-critical-high
- https://www.openssl.org/news/secadv/20221101.txt
- https://nvd.nist.gov/vuln/detail/CVE-2022-3602
- https://nvd.nist.gov/vuln/detail/CVE-2022-3786
- https://www.openssl.org/source/openssl-3.0.7.tar.gz