Avisos públicos
Vulnerabilidades de desbordamiento de búfer en OpenSSL (CVE-2022-3602 y CVE-2022-3786)
11 nov. 2022 GMT+08:00
I. Información general
Recientemente, se ha divulgado que hay dos vulnerabilidades de desbordamiento de búfer de alto riesgo (CVE-2022-3602 y CVE-2022-3786) en algunas versiones 3.0.x. de OpenSSL. OpenSSL tiene un defecto en la verificación de certificados X.509, que permite que las direcciones de correo electrónico maliciosas activen el desbordamiento de búfer. La explotación exitosa de esta vulnerabilidad puede causar denegación de servicio (DoS) o ejecución remota de código.
OpenSSL es una biblioteca potente de contraseñas de capa de socket segura. Si usted es usuario de OpenSSL, verifique su versión e implemente las mejoras de seguridad de manera oportuna.
Referencia: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
II. Severidad
Severidad: importante
(Severidad: baja, moderada, importante o crítica)
III. Productos afectados
Versiones afectadas:
3.0.0 ≤ OpenSSL < 3.0.7
Versiones seguras:
OpenSSL 3.0.7
Las versiones 1.x y 2.x de OpenSSL no se ven afectadas por las dos vulnerabilidades.
IV. Recomendaciones de seguridad
Las dos vulnerabilidades se han corregido en la versión 3.0.7. Actualice sus versiones afectadas con una versión segura.
https://www.openssl.org/source/
Nota: Antes de corregir vulnerabilidades, cree una copia de respaldo de sus archivos y realice una prueba exhaustiva.