Múltiples vulnerabilidades en OpenSSL

Fecha de publicación:

26/08/2021

Importancia:

4 - Alta

Recursos afectados:

OpenSSL, versión 1.1.1k y anteriores;
OpenSSL, versión 1.0.2y y anteriores

Descripción:

Los investigadores John Ouyang e Ingo Schwarze han reportado a OpenSSL una vulnerabilidad de severidad alta y otra de severidad media que podrían permitir a un atacante causar una condición de denegación de servicio o divulgar información sensible.

Solución:

Actualizar a la versión 1.1.1l, salvo los usuarios con soporte Premium de OpenSSL 1.0.2 que deberán actualizar a la versión 1.0.2za.

Las versiones OpenSSL 1.0.2 y 1.1.0 dejan de recibir soporte, por lo que los usuarios deben actualizar a la versión 1.1.1l.

Detalle:

Una vulnerabilidad de desbordamiento de búfer, siendo el basado en memoria dinámica (heap) el más común, debida a un error en la implementación del código de descifrado SM2, podría permitir a un atacante causar una condición de denegación de servicio o cambiar el comportamiento de una aplicación. Se ha asignado el identificador CVE-2021-3711 para esta vulnerabilidad de severidad alta.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-3712.

Referencias:

OpenSSL Security Advisory [24 August 2021]

Etiquetas:

Actualización

SSL/TLS

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en OpenSSL

Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en el core de Drupal

Actualización de seguridad de SAP de septiembre de 2021

Control de acceso incorrecto en el controlador ShareFile de Citrix

Vulnerabilidad de Cross Site Scripting en TIBCO WebFOCUS