Inicio / Alerta Temprana / Avisos Seguridad / [Actualización 17/03/2022] Bucle infinito en OpenSSL

[Actualización 17/03/2022] Bucle infinito en OpenSSL

Fecha de publicación: 
16/03/2022
Importancia: 
4 - Alta
Recursos afectados: 

OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:

  • clientes TLS que consumen certificados de servidor;
  • servidores TLS que consumen certificados de clientes;
  • proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
  • autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
  • cualquier otra cosa que analice parámetros de curva elíptica ASN.1.
Descripción: 

Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podría provocar un bucle infinito.

Solución: 
  • OpenSSL 1.0.2 debe actualizarse a la versión 1.0.2zd (sólo para clientes de soporte premium);
  • OpenSSL 1.1.1 debe actualizarse a la versión 1.1.1n;
  • OpenSSL 3.0 debe actualizarse a la versión 3.0.2.

OpenSSL 1.1.0 ya no dispone de soporte de actualizaciones, por lo que los usuarios deben actualizar a OpenSSL 3.0 o 1.1.1.

Detalle: 

La función BN_mod_sqrt(), que calcula una raíz cuadrada modular, contiene un error que podría provocar un bucle infinito para módulos no primos. Sería posible desencadenar el bucle infinito si se crea un certificado que tiene parámetros de curva explícitos no válidos. Se ha asignado el identificador CVE-2022-0778 para esta vulnerabilidad.

Encuesta valoración