Múltiples vulnerabilidades en OpenSSL

Fecha de publicación:

26/08/2021

Importancia:

4 - Alta

Recursos afectados:

OpenSSL, versión 1.1.1k y anteriores;
OpenSSL, versión 1.0.2y y anteriores

Descripción:

Los investigadores John Ouyang e Ingo Schwarze han reportado a OpenSSL una vulnerabilidad de severidad alta y otra de severidad media que podrían permitir a un atacante causar una condición de denegación de servicio o divulgar información sensible.

Solución:

Actualizar a la versión 1.1.1l, salvo los usuarios con soporte Premium de OpenSSL 1.0.2 que deberán actualizar a la versión 1.0.2za.

Las versiones OpenSSL 1.0.2 y 1.1.0 dejan de recibir soporte, por lo que los usuarios deben actualizar a la versión 1.1.1l.

Detalle:

Una vulnerabilidad de desbordamiento de búfer, siendo el basado en memoria dinámica (heap) el más común, debida a un error en la implementación del código de descifrado SM2, podría permitir a un atacante causar una condición de denegación de servicio o cambiar el comportamiento de una aplicación. Se ha asignado el identificador CVE-2021-3711 para esta vulnerabilidad de severidad alta.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-3712.

Referencias:

OpenSSL Security Advisory [24 August 2021]

Etiquetas:

Actualización

SSL/TLS

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en OpenSSL

Omisión de autentificación en ManageEngine Desktop Central

Múltiples vulnerabilidades en Cisco Redundancy Configuration Manager

Múltiples vulnerabilidades en el core de Drupal

Actualizaciones críticas en Oracle (enero 2022)

Múltiples vulnerabilidades en IBM HTTP Server