Home / Node / Boletín de INCIBE-CERT del 16-03-2022

Boletín de INCIBE-CERT del 16-03-2022

[Actualización 17/03/2022] Bucle infinito en OpenSSL

Publication date: 
03/16/2022
Importance: 
4 - Alta
Affected resources: 

OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:

  • clientes TLS que consumen certificados de servidor;
  • servidores TLS que consumen certificados de clientes;
  • proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
  • autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
  • cualquier otra cosa que analice parámetros de curva elíptica ASN.1.
Description: 

Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podría provocar un bucle infinito.

Solution: 
  • OpenSSL 1.0.2 debe actualizarse a la versión 1.0.2zd (sólo para clientes de soporte premium);
  • OpenSSL 1.1.1 debe actualizarse a la versión 1.1.1n;
  • OpenSSL 3.0 debe actualizarse a la versión 3.0.2.

OpenSSL 1.1.0 ya no dispone de soporte de actualizaciones, por lo que los usuarios deben actualizar a OpenSSL 3.0 o 1.1.1.

Detail: 

La función BN_mod_sqrt(), que calcula una raíz cuadrada modular, contiene un error que podría provocar un bucle infinito para módulos no primos. Sería posible desencadenar el bucle infinito si se crea un certificado que tiene parámetros de curva explícitos no válidos. Se ha asignado el identificador CVE-2022-0778 para esta vulnerabilidad.

Encuesta valoración

Limitación incorrecta de la ruta a un directorio restringido en TIBCO JasperReports Library

Publication date: 
03/16/2022
Importance: 
5 - Crítica
Affected resources: 
  • TIBCO JasperReports Library:
    • versión 7.9.0;
    • para ActiveMatrix BPM, versión 7.9.0.
  • TIBCO JasperReports Server:
    • versiones 7.9.0 and 7.9.1;
    • para AWS Marketplace, versiones 7.9.0 y 7.9.1;
    • para ActiveMatrix BPM, versiones 7.9.0 y 7.9.1;
    • para Microsoft Azure, versión 7.9.1.
  • Componente Server.
Description: 

Se ha identificado una vulnerabilidad crítica de limitación incorrecta de la ruta a un directorio restringido (directory traversal) que podría permitir a los usuarios del servidor web acceder al contenido del sistema host.

Solution: 

Actualizar a:

  • TIBCO JasperReports Library:
    • versión 7.9.2 o posteriores;
    • para ActiveMatrix BPM, versión 7.9.2 o posteriores.
  • TIBCO JasperReports Server:
    • versión 7.9.2 o posteriores;
    • para AWS Marketplace, versiones 7.9.2 o posteriores;
    • para ActiveMatrix BPM, versiones 7.9.2 o posteriores;
    • para Microsoft Azure, versión 7.9.2 o posteriores.
Detail: 

Esta vulnerabilidad podría permitir que un servidor web que utilice el DefaultWebResourceHandler pudiese exponer detalles del sistema host. Los datos revelados podrían incluir credenciales para acceder a otros sistemas. Se ha asignado el identificador CVE-2022-22771 para esta vulnerabilidad.

Encuesta valoración