Vulnerabilidad en OpenSSL (CVE-2025-4575)

Resumen del problema: El uso de la opción -addreject con la aplicación openssl x509 añade un uso confiable en lugar de uno rechazado para un certificado. Resumen del impacto: Si un usuario intenta rechazar un certificado confiable para un uso específico, se marcará como confiable para ese uso. Un error de copiar y pegar durante una pequeña refactorización del código introdujo este problema en la versión OpenSSL 3.5. Si, por ejemplo, un certificado de CA confiable solo debe ser confiable para autenticar servidores TLS, pero no para la verificación de firmas CMS, y esta verificación se marca como rechazada con la opción -addreject, el certificado de CA resultante se considerará confiable para la verificación de firmas CMS. Este problema solo afecta a los usuarios que usan el formato de certificado confiable y la aplicación de línea de comandos openssl x509 para añadir usos rechazados. Los problemas que afectan solo a la aplicación de línea de comandos se consideran de gravedad baja. Los módulos FIPS de las versiones 3.5, 3.4, 3.3, 3.2, 3.1 y 3.0 no se ven afectados. OpenSSL 3.4, 3.3, 3.2, 3.1, 3.0, 1.1.1 y 1.0.2 tampoco se ven afectados por este problema.