• 25 agosto, 2021

Múltiples Vulnerabilidades de Desbordamiento del Búfer en OpenSSL

Descripción:

Múltiples vulnerabilidades en OpenSSL. Permiten que un atacante provoque una denegación de servicio remota, una omisión de la política de seguridad y una violación de la confidencialidad de los datos.

Criticidad:

  • Alta

Vulnerabilidad:

  • CVE-2021-3711: Es un error en la implementación del código de descifrado SM2 que puede provocar un desbordamiento del búfer al llamar a la función API para descifrar datos cifrados SM2.
  • CVE-2021-3712: Es una vulnerabilidad de desbordamiento del búfer de lectura al procesar cadenas ASN.1. Un atacante que aproveche la vulnerabilidad puede revelar contenido de memoria privada o realizar un ataque de denegación de servicio (DoS).

Productos afectados:

Las siguientes versiones se ven afectadas por estas vulnerabilidades:

Para la vulnerabilidad CVE-2021-3711 afecta a:

OpenSSL versiones 1.1.1k y anteriores 1.1.1x

Para la vulnerabilidad CVE-2021-3712 afecta a:

  • OpenSSL versiones 1.1.1k y anteriores 1.1.1x
  • OpenSSL versiones 1.0.2y y anteriores 1.0 .2x

Según OpenSSL Project, OpenSSL 1.0.2 y 1.1.0 están fuera de soporte y ya no reciben actualizaciones. Se recomienda a los usuarios de estas versiones actualizar a OpenSSL 1.1.1l.

Solución:

El proyecto OpenSSL ha lanzado una versión de OpenSSL para abordar estas vulnerabilidades. Considere la posibilidad de aplicar la actualización después de realizar pruebas exhaustivas.

  • OpenSSL 1.1.1l

Referencias:

https://www.openssl.org/