Vulnerabilidad en OpenSSL (CVE-2025-15468)

Resumen del problema: Si una aplicación que utiliza la función SSL_CIPHER_find() en un cliente o servidor del protocolo QUIC recibe un conjunto de cifrado desconocido del par, ocurre una desreferencia de NULL.<br /> <br /> Resumen del impacto: Una desreferencia de puntero NULL conduce a la terminación anormal del proceso en ejecución causando Denegación de Servicio.<br /> <br /> Algunas aplicaciones llaman a SSL_CIPHER_find() desde la devolución de llamada client_hello_cb en el ID de cifrado recibido del par. Si esto se hace con un objeto SSL que implementa el protocolo QUIC, ocurrirá una desreferencia de puntero NULL si el ID de cifrado examinado es desconocido o no compatible.<br /> <br /> Como no es muy común llamar a esta función en aplicaciones que utilizan el protocolo QUIC y el peor resultado es Denegación de Servicio, el problema fue evaluado como de baja severidad.<br /> <br /> El código vulnerable fue introducido en la versión 3.2 con la adición del soporte para el protocolo QUIC.<br /> <br /> Los módulos FIPS en 3.6, 3.5, 3.4 y 3.3 no se ven afectados por este problema, ya que la implementación de QUIC está fuera del límite del módulo FIPS de OpenSSL.<br /> <br /> OpenSSL 3.6, 3.5, 3.4 y 3.3 son vulnerables a este problema.<br /> <br /> OpenSSL 3.0, 1.1.1 y 1.0.2 no se ven afectados por este problema.