Múltiples vulnerabilidades en OpenSSL

Fecha de publicación
07/07/2022
Importancia
5 - Crítica
Recursos Afectados
  • OpenSSL 3.0.4
  • OpenSSL 1.1.1
  • OpenSSL 3.0
Descripción

OpenSSL ha informado de varias vulnerabilidades descubiertas por los investigadores Xi Ruoyao y Alex Chernyakhovsky las cuales podrían permitir una ejecución remota de código en la máquina afectada.

Solución

OpenSSL ha publicado las siguientes versiones para corregir estas vulnerabilidades:

  • OpenSSL 3.0.5
  • OpenSSL 1.1.1q
Detalle

La vulnerabilidad más grave afectaría únicamente a la versión OpenSSL 3.0.4 y se produce por un error grave en la implementación RSA para procesadores con CPU X86_64 y compatibles, debido a una implementación incorrecta de las instrucciones AVX512IFMA en el algoritmo RSA al procesar las claves privadas de 2048 bits, causando corrupción de la memoria en el sistema afectado y permitiendo a un atacante desencadenar una ejecución remota de código. Se ha asignado el identificador CVE-2022-2274 para esta vulnerabilidad.

OpenSSL también ha informado de otra vulnerabilidad menos grave corregida el 5 de julio y corregido en las versiones 1.1.1q y 3.0.5 que permitiría revelar dieciséis bytes en el modo AES OCB al utilizar el ensamblado AES-NI para cifrar los datos. Se ha asignado el identificador CVE-2022-2097 para esta vulnerabilidad.

Encuesta valoración

Ir arriba