OpenSSL ha publicado una actualización de la popular librería, en la que se han corregido dos vulnerabilidades, una lectura de memoria fuera de límites y un fallo de acarreo que podría facilitar la obtención de la clave privada.
El fallo de propagación de acarreo ocurre en el procedimiento x86_64 Montgomery. Este fallo solo afecta a procesadores que soportan las extensiones BMI1, BMI2 y ADX, por ejemplo, los procesadores Intel Broadwell y posteriores o los AMD Ryzen.
Aunque se cree que pueda afectar al material criptográfico y poner en riesgo la integridad de la clave privada, se necesitaría una gran cantidad de recursos computacionales y un escenario con ciertos condicionantes que dificultan efectuar un ataque práctico. Este fallo posee el CVE-2017-3736.
El error de lectura fuera de límites, de un solo byte, ocurre al procesar la extensión IPAdressFamily en un certificado X.509 especialmente manipulado. Posee el CVE-2017-3735. Como dato curioso, ha estado presente en las librerías OpenSSL desde el año 2006.
Ambos fallos han sido hallados por el equipo del proyecto OOS-Fuzz patrocinado por Google.
Se ha de actualizar a las versiones de OpenSSL 1.1.0g y 1.0.2m de sus respectivas ramas.
Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.
Más información:
OpenSSL Security Advisory
Deja un comentario