Ausencia de notificación de error en OpenSSL
OpenSSL 3.4, 3.3 y 3.2.
OpenSSL ha publicado una vulnerabilidad de severidad alta en los protocolos de enlace (handsake) RFC7250 que podría dar lugar a ataque man-in-the-middle.
Actualizar a las versiones OpenSSL 3.4.1, 3.3.3 y 3.2.4.
Los clientes que usan claves públicas sin formato (RPK) RFC7250 para autenticar un servidor, pueden no notar que el servidor no se ha autenticado, porque los protocolos de enlace (handsake) no se cancelan como se esperaba cuando se establece el modo de verificación SSL_VERIFY_PEER. La vulnerabilidad afecta a las conexiones TLS y DTLS que utilizan claves públicas sin procesar. Su explotación podría provocar ataques de intermediarios (man-in-the-middle) cuando no se detecta el fallo de autenticación del servidor.
La vulnerabilidad tiene asignado el identificador CVE-2024-12797.
