1. Avisos de seguridad
  2. OpenSSL lanza parche de seguridad para un error que podría conducir a ataques RCE
Fecha de publicación: Jue, 14/07/2022 - 11:48

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

OpenSSL es una biblioteca de criptografía ampliamente utilizada que proporciona una implementación de código abierto de los protocolos Secure Sockets Layer (SSL) y Transport Layer Security (TLS), incluye herramientas para generar claves privadas RSA y realizar cifrado.

Una vulnerabilidad de severidad alta, identificado como CVE-2022-2274 en OpenSSL podría permitir que un actor de amenazas lograr la ejecución remota de código (RCE) en dispositivos del lado del servidor.

La versión OpenSSL 3.0.4 introdujo un error grave en la implementación de RSA para las CPU X86_64 que admiten las instrucciones AVX512IFMA. Este problema hace que la implementación de RSA con claves privadas de 2048 bits sea incorrecta en dichas máquinas y la memoria se dañe durante el cálculo. Como consecuencia de la corrupción de la memoria, un atacante puede desencadenar una ejecución de código en la máquina que realiza el cálculo.

Recursos afectados

OpenSSL 3.0.4 implementadas en maquinas con arquitectura X86_64.

Solución

Actualizar OpenSSL a la versión 3.0.5

Referencias

OpenSSL lanza parche para un error de gravedad alta