02/11/2022    

BOLETÍN NRO 2022-633

El proyecto OpenSSL ha lanzado correcciones para contener dos fallos en su biblioteca de criptografía ampliamente utilizada, que podrían generar una denegación de servicio (DoS) y la ejecución remota de código. Para saber información adicional de esta vulnerabilidad consulte el boletín Nro. 2022-633.

Las vulnerabilidades denominadas como CVE-2022-3602 y CVE-2022-3786, han sido descritos como fallos de desbordamiento de búfer que pueden activarse durante la verificación de certificados X.509 mediante el suministro de una dirección de correo electrónico especialmente diseñada. Sobre CVE-2022-3786, puede desencadenarse si el servidor solicita la autenticación del cliente y este se conecta. El OpenSSL es una implementación de código abierto de los protocolos SSL y TLS utilizados para la comunicación segura y está incorporada en varios sistemas operativos.

Las versiones 3.0.0 a 3.0.6 de la biblioteca de OpenSSL, que estaban siendo afectados, han sido corregidos en la versión 3.0.7. Cabe destacar que las versiones de OpenSSL 1.x más empleadas no son afectadas.

Según los datos compartidos por OpenSSl, se dice que unos 7.062 hosts ejecutan una versión susceptible de OpenSSL y la mayoría de ellos se encuentran en Estados Unidos, Alemania, Japón, China, Chequia, Reino Unido, Francia, Rusia, Canadá y Países Bajos.

Aunque la CVE-2022-3602 fue tratada inicialmente como una vulnerabilidad crítica, su gravedad ha sido rebajada a alta, citando las protecciones de desbordamiento de pila en las plataformas modernas. 

El proyecto OpenSSL señaló además que los fallos se introdujeron en OpenSSL 3.0.0 como parte de la funcionalidad de descodificación de punycode que se utiliza actualmente para procesar las restricciones de los nombres de las direcciones de correo electrónico en los certificados X.509.

A pesar del cambio de gravedad, OpenSSL dijo que considera que estos problemas son vulnerabilidades graves y se recomienda a los usuarios afectados que se actualicen lo antes posible.