OpenSSL ha anunciado un nuevo aviso de vulnerabilidad, que permitiría a un atacante realizar ejecución remota de código (RCE).

Recursos afectados:

Versiones 1.0.2, 1.1.1 y 3.0 de OpenSSL

Descripción:

La vulnerabilidad fue identificada como CVE-2022-2068. Esta se debe a una falla en el script c_rehash, que permitiría a un atacante remoto ejecutar comandos arbitrarios con los privilegios de dicho script. Este script es distribuido por algunos sistemas operativos de manera que se ejecuta automáticamente.

Cuando se arregló la vulnerabilidad CVE-2022-1292, no se descubrió que hay otros lugares en la secuencia de comandos donde los nombres de los archivos de los certificados que se codificaron posiblemente se pasaron a un comando ejecutado a través del shell. La misma está dada debido a que el script c_rehash no limpia correctamente los metacaracteres del shell para evitar la inyección de comandos.

El uso del script c_rehash se considera obsoleto y debe reemplazarse por la herramienta de línea de comandos de rehash de OpenSSL.

Recomendaciones: 

Realizar las actualizaciones de software correspondientes.

• Los usuarios de OpenSSL 1.0.2 deben actualizar a 1.0.2zf (solo clientes de soporte premium).
• Los usuarios de OpenSSL 1.1.1 deben actualizar a 1.1.1p.
• Los usuarios de OpenSSL 3.0 deben actualizar a 3.0.4.

OpenSSL 1.0.2 está fuera de soporte y ya no recibe actualizaciones públicas. El soporte extendido está disponible para clientes de soporte premium.

OpenSSL 1.1.0 está fuera de soporte y ya no recibe actualizaciones de ningún tipo. No se ha analizado el impacto de estos problemas en OpenSSL 1.1.0.

Los usuarios de estas versiones deben actualizar a OpenSSL 3.0 o 1.1.1.

Referencias:

• https://securityonline.info/cve-2022-2068-openssl-command-injection-vulnerability/
• https://nvd.nist.gov/vuln/detail/CVE-2022-2068
• https://nvd.nist.gov/vuln/detail/CVE-2022-1292
• https://www.openssl.org/news/secadv/20220621.txt
• https://www.openssl.org/support/contracts.html