Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en OpenSSL

Múltiples vulnerabilidades en OpenSSL

Fecha de publicación: 
07/07/2022
Identificador: 
INCIBE-2022-0822
Importancia: 
5 - Crítica
Recursos afectados: 
  • OpenSSL 3.0.4
  • OpenSSL 1.1.1
  • OpenSSL 3.0
Descripción: 

OpenSSL ha informado de varias vulnerabilidades descubiertas por los investigadores Xi Ruoyao y Alex Chernyakhovsky las cuales podrían permitir una ejecución remota de código en la máquina afectada.

Solución: 

OpenSSL ha publicado las siguientes versiones para corregir estas vulnerabilidades:

  • OpenSSL 3.0.5
  • OpenSSL 1.1.1q
Detalle: 

La vulnerabilidad más grave afectaría únicamente a la versión OpenSSL 3.0.4 y se produce por un error grave en la implementación RSA para procesadores con CPU X86_64 y compatibles, debido a una implementación incorrecta de las instrucciones AVX512IFMA en el algoritmo RSA al procesar las claves privadas de 2048 bits, causando corrupción de la memoria en el sistema afectado y permitiendo a un atacante desencadenar una ejecución remota de código. Se ha asignado el identificador CVE-2022-2274 para esta vulnerabilidad.

OpenSSL también ha informado de otra vulnerabilidad menos grave corregida el 5 de julio y corregido en las versiones 1.1.1q y 3.0.5 que permitiría revelar dieciséis bytes en el modo AES OCB al utilizar el ensamblado AES-NI para cifrar los datos. Se ha asignado el identificador CVE-2022-2097 para esta vulnerabilidad.

Encuesta valoración