Con fecha 26 de agosto de 2021, los investigadores John Ouyang e Ingo Schwarze reportaron a OpenSSL una vulnerabilidad de severidad alta y otra de severidad media, que podrían permitir a un atacante causar una condición de denegación de servicio o divulgar información sensible.

Recursos afectados: 

• OpenSSL, versión 1.1.1k y anteriores;
• OpenSSL, versión 1.0.2y y anteriores.

[Actualización 20/05/2022]

• HP-UX OpenSSL Software, versiones anteriores a la A.01.01.01l.001.

Descripción:

OpenSSL es una herramienta de línea de comandos de código abierto que se usa comúnmente para generar claves privadas, crear CSR, instalar su certificado SSL/TLS e identificar la información del certificado.

Una vulnerabilidad de desbordamiento de búfer, siendo el basado en memoria dinámica (heap) el más común, debida a un error en la implementación del código de descifrado SM2, podría permitir a un atacante causar una condición de denegación de servicio o cambiar el comportamiento de una aplicación. Se ha asignado el identificador CVE-2021-3711 para esta vulnerabilidad de severidad alta.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-3712.

Recomendaciones:

• Actualizar a la versión 1.1.1l, salvo los usuarios con soporte Premium de OpenSSL 1.0.2 que deberán actualizar a la versión 1.0.2za.
• Las versiones OpenSSL 1.0.2 y 1.1.0 dejan de recibir soporte, por lo que los usuarios deben actualizar a la versión 1.1.1l.

[Actualización 20/05/2022]

• Aplicar el parche HP-UX OpenSSL A.01.01.01l.001 para HP-UX Release B.11.31 en Integrity/IPF server desde el centro de soporte software de HPE.

Referencias:

• https://www.openssl.org/news/secadv/20210824.txt
• [Actualización 20/05/2022] https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbux04309en_us