Avisos públicos

Todos los avisos > Anuncios de seguridad > Vulnerabilidades de desbordamiento de búfer en OpenSSL (CVE-2022-3602 y CVE-2022-3786)

Vulnerabilidades de desbordamiento de búfer en OpenSSL (CVE-2022-3602 y CVE-2022-3786)

11 nov. 2022 GMT+08:00

I. Información general

Recientemente, se ha divulgado que hay dos vulnerabilidades de desbordamiento de búfer de alto riesgo (CVE-2022-3602 y CVE-2022-3786) en algunas versiones 3.0.x. de OpenSSL. OpenSSL tiene un defecto en la verificación de certificados X.509, que permite que las direcciones de correo electrónico maliciosas activen el desbordamiento de búfer. La explotación exitosa de esta vulnerabilidad puede causar denegación de servicio (DoS) o ejecución remota de código.

OpenSSL es una biblioteca potente de contraseñas de capa de socket segura. Si usted es usuario de OpenSSL, verifique su versión e implemente las mejoras de seguridad de manera oportuna.

Referencia: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

II. Severidad

Severidad: importante

(Severidad: baja, moderada, importante o crítica)

III. Productos afectados

Versiones afectadas:

3.0.0 ≤ OpenSSL < 3.0.7

Versiones seguras:

OpenSSL 3.0.7

Las versiones 1.x y 2.x de OpenSSL no se ven afectadas por las dos vulnerabilidades.

IV. Recomendaciones de seguridad

Las dos vulnerabilidades se han corregido en la versión 3.0.7. Actualice sus versiones afectadas con una versión segura.

https://www.openssl.org/source/

Nota: Antes de corregir vulnerabilidades, cree una copia de respaldo de sus archivos y realice una prueba exhaustiva.