Vulnerabilidad en OPENSSLDIR en OpenSSL (CVE-2019-1552)

OpenSSL presenta valores predeterminados internos para un árbol de directorios donde puede encontrar un archivo de configuración, así como certificados utilizados para la comprobación en TLS. Este directorio se conoce más comúnmente como OPENSSLDIR, y se puede configurar con las opciones de configuración --prefix / --openssldir. Para las versiones 1.1.0 y 1.1.1 de OpenSSL, los destinos de configuración de mingw suponen que los programas y bibliotecas resultantes están instalados en un entorno similar a Unix y el prefijo predeterminado para la instalación del programa, así como para OPENSSLDIR debe ser “/usr/ local”. Sin embargo, los programas mingw son programas de Windows, y como tal, se encuentran buscando subdirectorios de “C:/usr/local”, que pueden ser grabables world, lo que permite a los usuarios no confiables modificar la configuración predeterminada de OpenSSL, insertar certificados de CA, modificar (o incluso reemplazar) los módulos de motor existentes, etc. Para OpenSSL versión 1.0.2, “/usr/local/ssl” se utiliza de por defecto para OPENSSLDIR en todos los Unix y Windows de destino, incluidas las compilaciones de Visual C. Sin embargo, algunas instrucciones de compilación para los diversos Windows de destino en la versión 1.0.2 le incentivan a especificar su propio --prefix. Las versiones 1.1.1, 1.1.0 y 1.0.2 de OpenSSL están afectadas por este problema. Debido al alcance limitado de las implementaciones afectadas, esto se ha evaluado como de baja gravedad y, por lo tanto, no estamos creando nuevas versiones en este momento. Corregido en OpenSSL versión 1.1.1d (versiones afectadas 1.1.1 hasta 1.1.1c). Corregido en OpenSSL versión 1.1.0l (versiones afectadas 1.1.0 hasta 1.1.0k). Corregido en OpenSSL versión 1.0.2t (versiones afectadas 1.0.2 hasta 1.0.2s).