Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2023-0464

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
22/03/2023
Última modificación:
05/05/2025

Descripción

*** Pendiente de traducción *** A security vulnerability has been identified in all supported versions<br /> <br /> of OpenSSL related to the verification of X.509 certificate chains<br /> that include policy constraints. Attackers may be able to exploit this<br /> vulnerability by creating a malicious certificate chain that triggers<br /> exponential use of computational resources, leading to a denial-of-service<br /> (DoS) attack on affected systems.<br /> <br /> Policy processing is disabled by default but can be enabled by passing<br /> the `-policy&amp;#39; argument to the command line utilities or by calling the<br /> `X509_VERIFY_PARAM_set1_policies()&amp;#39; function.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 1.0.2 (incluyendo) 1.0.2zh (excluyendo)
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 1.1.1 (incluyendo) 1.1.1u (excluyendo)
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.0.0 (incluyendo) 3.0.9 (excluyendo)
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.1.0 (incluyendo) 3.1.1 (excluyendo)


Referencias a soluciones, herramientas e información