Vulnerabilidad de fallo de segmentación en SSL_check_chain de OpenSSL

Fecha de publicación:

22/04/2020

Importancia:

4 - Alta

Recursos afectados:

OpenSSL, versiones 1.1.1d, 1.1.1e y 1.1.1f

Descripción:

Los investigadores Bernd Edlinger, Matt Caswell y Benjamin Kaduk reportaron a OpenSSL una vulnerabilidad localizada en la función SSL_check_chain(), con severidad alta y de tipo fallo de segmentación.

Solución:

Actualizar OpenSSL a la versión 1.1.1g.

Detalle:

Las aplicaciones de servidor o cliente que invocan a la función SSL_check_chain(), durante o después de un handshake TLS 1.3, podrían bloquearse debido a una desreferencia del puntero NULL, como resultado del manejo incorrecto de la extensión TLS signature_algorithms_cert. El bloqueo podría producirse si se recibe un algoritmo de firma no válido o no reconocido del par, pudiendo ser utilizado para realizar un ataque de denegación de servicio (DoS). Se ha asignado el identificador CVE-2020-1967 para esta vulnerabilidad.

Referencias:

OpenSSL Security Advisory [21 April 2020] - Segmentation fault in SSL_check_chain (CVE-2020-1967)

Etiquetas:

Actualización

SSL/TLS

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de fallo de segmentación en SSL_check_chain de OpenSSL

Múltiples vulnerabilidades en router Netgear Orbi

Múltiples vulnerabilidades en productos Aspera Faspex de IBM

Múltiples vulnerabilidades en Moodle

Vulnerabilidades 0day en chipsets Exynos de Samsung

Múltiples vulnerabilidades en el core de Drupal