Vulnerabilidad en la implementación de RSA para CPUs X86_64 que soportan las instrucciones AVX512IFMA en OpenSSL (CVE-2022-2274)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
01/07/2022
Última modificación:
07/11/2023
Descripción
OpenSSL versión 3.0.4, introdujo un grave error en la implementación de RSA para CPUs X86_64 que soportan las instrucciones AVX512IFMA. Este problema hace que la implementación de RSA con claves privadas de 2048 bits sea incorrecta en dichas máquinas y que sea producida una corrupción de memoria durante el cálculo. Como consecuencia de la corrupción de memoria, un atacante puede ser capaz de desencadenar una ejecución de código remota en la máquina que lleva a cabo el cálculo. Los servidores SSL/TLS u otros servidores usando claves privadas RSA de 2048 bits que son ejecutadas en máquinas que soportan instrucciones AVX512IFMA de la arquitectura X86_64 están afectados por este problema
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openssl:openssl:3.0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:snapcenter:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h410c:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h410c_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h300s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h300s_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h500s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h500s_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h700s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h700s_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h410s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h410s_firmware:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página