Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en OpenSSL (CVE-2018-0732)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/06/2018
Última modificación:
07/11/2023

Descripción

Durante los acuerdos de clave en un handshake TLS mediante un conjunto de cifrado basado en DH(E), un servidor malicioso puede enviar un valor primo muy grande al cliente. Esto provocará que el cliente gaste una cantidad de tiempo demasiado grande generando una clave para este primo, lo que resulta en un bloqueo hasta que termine el cliente. Esto podría explotarse en un ataque de Denegación de servicio (DoS). Se ha solucionado en OpenSSL 1.1.0i-dev (afecta a 1.1.0-1.1.0h). Se ha solucionado en OpenSSL 1.0.2p-dev (afecta a 1.0.2-1.0.2o).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 1.0.2 (incluyendo) 1.0.2o (incluyendo)
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 1.1.0 (incluyendo) 1.1.0h (incluyendo)
cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:17.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* 6.0.0 (incluyendo) 6.8.1 (excluyendo)
cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:* 6.9.0 (incluyendo) 6.14.4 (excluyendo)
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* 8.0.0 (incluyendo) 8.8.1 (excluyendo)
cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:* 8.9.0 (incluyendo) 8.11.4 (excluyendo)
cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* 10.0.0 (incluyendo) 10.9.0 (excluyendo)


Referencias a soluciones, herramientas e información