Home / Node / [Actualización 20/05/2022] Múltiples vulnerabilidades en OpenSSL

[Actualización 20/05/2022] Múltiples vulnerabilidades en OpenSSL

Publication date: 
08/26/2021
Importance: 
4 - Alta
Affected resources: 
  • OpenSSL, versión 1.1.1k y anteriores;
  • OpenSSL, versión 1.0.2y y anteriores.

[Actualización 20/05/2022]

  • HP-UX OpenSSL Software, versiones anteriores a la A.01.01.01l.001.
Description: 

Los investigadores John Ouyang e Ingo Schwarze han reportado a OpenSSL una vulnerabilidad de severidad alta y otra de severidad media que podrían permitir a un atacante causar una condición de denegación de servicio o divulgar información sensible.

Solution: 
  • Actualizar a la versión 1.1.1l, salvo los usuarios con soporte Premium de OpenSSL 1.0.2 que deberán actualizar a la versión 1.0.2za.
  • Las versiones OpenSSL 1.0.2 y 1.1.0 dejan de recibir soporte, por lo que los usuarios deben actualizar a la versión 1.1.1l.

[Actualización 20/05/2022]

Detail: 

Una vulnerabilidad de desbordamiento de búfer, siendo el basado en memoria dinámica (heap) el más común, debida a un error en la implementación del código de descifrado SM2, podría permitir a un atacante causar una condición de denegación de servicio o cambiar el comportamiento de una aplicación. Se ha asignado el identificador CVE-2021-3711 para esta vulnerabilidad de severidad alta.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-3712.

Encuesta valoración