El proyecto OpenSSL ha implementado correcciones para contener dos fallas de alta gravedad en su biblioteca de criptografía ampliamente utilizada que podría resultar en una denegación de servicio (DoS) y ejecución remota de código.
Los problemas, rastreados como CVE-2022-3602 y CVE-2022-3786 , se han descrito como vulnerabilidades de saturación de búfer que pueden activarse durante la verificación del certificado X.509 al proporcionar una dirección de correo electrónico especialmente diseñada.
«En un cliente TLS, esto puede activarse al conectarse a un servidor malicioso», dijo OpenSSL en un aviso para CVE-2022-3786. «En un servidor TLS, esto puede activarse si el servidor solicita la autenticación del cliente y se conecta un cliente malintencionado».
OpenSSL es una implementación de código abierto de los protocolos SSL y TLS que se utilizan para la comunicación segura y está integrado en varios sistemas operativos y una amplia gama de software.
Las versiones 3.0.0 a 3.0.6 de la biblioteca se ven afectadas por las nuevas fallas, que se remediaron en la versión 3.0.7. Vale la pena señalar que las versiones de OpenSSL 1.x comúnmente implementadas no son vulnerables.
Según los datos compartidos por Censys , se dice que alrededor de 7062 hosts ejecutan una versión susceptible de OpenSSL al 30 de octubre de 2022, con la mayoría de ellos ubicados en los EE. UU., Alemania, Japón, China, Chequia, el Reino Unido, Francia, Rusia, Canadá y los Países Bajos.
Si bien CVE-2022-3602 se trató inicialmente como una vulnerabilidad Crítica, desde entonces su gravedad se ha degradado a Alta, citando protecciones de desbordamiento de pila en plataformas modernas. A los investigadores de seguridad Polar Bear y Viktor Dukhovni se les atribuye la notificación de CVE-2022-3602 y CVE-2022-3786 el 17 y 18 de octubre de 2022.
El Proyecto OpenSSL señaló además que los errores se introdujeron en OpenSSL 3.0.0 como parte de la funcionalidad de decodificación punycode que se usa actualmente para procesar las restricciones de nombre de dirección de correo electrónico en los certificados X.509.
A pesar del cambio en la gravedad, OpenSSL dijo que considera que «estos problemas son vulnerabilidades graves y se alienta a los usuarios afectados a actualizarse lo antes posible».
La versión 3.0, la versión actual de OpenSSL, incluye versiones del sistema operativo Linux como Ubuntu 22.04 LTS, CentOS, macOS Ventura y Fedora 36, entre otras. Las imágenes de contenedores creadas con las versiones afectadas de Linux también se ven afectadas.
Según un aviso publicado por Docker, aproximadamente 1000 repositorios de imágenes podrían verse afectados en varias imágenes oficiales de Docker e imágenes de Docker Verified Publisher.
La última falla crítica abordada por OpenSSL fue en septiembre de 2016, cuando cerró CVE-2016-6309 , un error de uso después de liberar que podría provocar un bloqueo o la ejecución de código arbitrario.
Heartbleed ( CVE-2014-0160 ), un problema grave de manejo de memoria en la implementación de la extensión de latido TLS/DTLS, permitió a los atacantes leer partes de la memoria de un servidor de destino.
«Una vulnerabilidad crítica en una biblioteca de software como OpenSSL, que se usa tanto y es tan fundamental para la seguridad de los datos en Internet, es algo que ninguna organización puede permitirse pasar por alto», dijo SentinelOne.