Múltiples Vulnerabilidades de Desbordamiento del Búfer en OpenSSL
Descripción:
Múltiples vulnerabilidades en OpenSSL. Permiten que un atacante provoque una denegación de servicio remota, una omisión de la política de seguridad y una violación de la confidencialidad de los datos.
Criticidad:
- Alta
Vulnerabilidad:
- CVE-2021-3711: Es un error en la implementación del código de descifrado SM2 que puede provocar un desbordamiento del búfer al llamar a la función API para descifrar datos cifrados SM2.
- CVE-2021-3712: Es una vulnerabilidad de desbordamiento del búfer de lectura al procesar cadenas ASN.1. Un atacante que aproveche la vulnerabilidad puede revelar contenido de memoria privada o realizar un ataque de denegación de servicio (DoS).
Productos afectados:
Las siguientes versiones se ven afectadas por estas vulnerabilidades:
Para la vulnerabilidad CVE-2021-3711 afecta a:
OpenSSL versiones 1.1.1k y anteriores 1.1.1x
Para la vulnerabilidad CVE-2021-3712 afecta a:
- OpenSSL versiones 1.1.1k y anteriores 1.1.1x
- OpenSSL versiones 1.0.2y y anteriores 1.0 .2x
Según OpenSSL Project, OpenSSL 1.0.2 y 1.1.0 están fuera de soporte y ya no reciben actualizaciones. Se recomienda a los usuarios de estas versiones actualizar a OpenSSL 1.1.1l.
Solución:
El proyecto OpenSSL ha lanzado una versión de OpenSSL para abordar estas vulnerabilidades. Considere la posibilidad de aplicar la actualización después de realizar pruebas exhaustivas.
- OpenSSL 1.1.1l
Referencias: