[Actualización 20/05/2022] Múltiples vulnerabilidades en OpenSSL
- OpenSSL, versión 1.1.1k y anteriores;
- OpenSSL, versión 1.0.2y y anteriores.
[Actualización 20/05/2022]
- HP-UX OpenSSL Software, versiones anteriores a la A.01.01.01l.001.
Los investigadores John Ouyang e Ingo Schwarze han reportado a OpenSSL una vulnerabilidad de severidad alta y otra de severidad media que podrían permitir a un atacante causar una condición de denegación de servicio o divulgar información sensible.
- Actualizar a la versión 1.1.1l, salvo los usuarios con soporte Premium de OpenSSL 1.0.2 que deberán actualizar a la versión 1.0.2za.
- Las versiones OpenSSL 1.0.2 y 1.1.0 dejan de recibir soporte, por lo que los usuarios deben actualizar a la versión 1.1.1l.
[Actualización 20/05/2022]
- Aplicar el parche HP-UX OpenSSL A.01.01.01l.001 para HP-UX Release B.11.31 en Integrity/IPF server desde el centro de soporte software de HPE.
Una vulnerabilidad de desbordamiento de búfer, siendo el basado en memoria dinámica (heap) el más común, debida a un error en la implementación del código de descifrado SM2, podría permitir a un atacante causar una condición de denegación de servicio o cambiar el comportamiento de una aplicación. Se ha asignado el identificador CVE-2021-3711 para esta vulnerabilidad de severidad alta.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-3712.