Vulnerabilidad en OpenSSL (CVE-2025-9231)

Resumen del problema: Existe un canal lateral de temporización que podría permitir potencialmente la recuperación remota de la clave privada en la implementación del algoritmo SM2 en plataformas ARM de 64 bits.<br /> <br /> Resumen del impacto: Un canal lateral de temporización en los cálculos de firma SM2 en plataformas ARM de 64 bits podría permitir la recuperación de la clave privada por un atacante.<br /> <br /> Aunque el informante no intentó la recuperación remota de la clave a través de una red, las mediciones de temporización revelaron una señal de temporización que podría permitir tal ataque.<br /> <br /> OpenSSL no soporta directamente certificados con claves SM2 en TLS, por lo que este CVE no es relevante en la mayoría de los contextos TLS. Sin embargo, dado que es posible añadir soporte para dichos certificados a través de un proveedor personalizado, junto con el hecho de que en un contexto de proveedor personalizado de este tipo la clave privada podría ser recuperable mediante mediciones remotas de temporización, consideramos que este es un problema de severidad Moderada.<br /> <br /> Los módulos FIPS en 3.5, 3.4, 3.3, 3.2, 3.1 y 3.0 no se ven afectados por este problema, ya que SM2 no es un algoritmo aprobado.