El proyecto OpenSSL ha lanzado correcciones para abordar varios errores de seguridad, incluyendo un error de alta gravedad en la herramienta de cifrado de código abierto que podría potencialmente exponer a los usuarios a ataques maliciosos.
Rastreado como CVE-2023-0286, el problema se relaciona con un caso de confusión de tipos que puede permitir a un adversario “leer el contenido de la memoria o realizar una negación de servicio”, dijeron los mantenedores en un aviso.
La vulnerabilidad tiene su origen en la forma en que la popular biblioteca criptográfica trata los certificados X.509 y es probable que afecte solo a aquellas aplicaciones que tienen una implementación personalizada para recuperar una lista de revocación de certificados (CRL) a través de una red.
“En la mayoría de los casos, el ataque requiere que el atacante proporcione tanto la cadena de certificados como la CRL, ninguno de los cuales necesita tener una firma válida”, dijo OpenSSL. “Si el atacante solo controla una de estas entradas, la otra entrada ya debe contener una dirección X.400 como punto de distribución CRL, lo cual es poco común”.
Las fallas de confusión de tipo podrían tener graves consecuencias, ya que podrían convertirse en armas para forzar deliberadamente al programa a comportarse de manera no intencionada, posiblemente causando un bloqueo o la ejecución del código.
El problema se ha solucionado en las versiones 3.0.8, 1.1.1t y 1.0.2zg de OpenSSL. Otras fallas de seguridad abordadas como parte de las últimas actualizaciones incluyen:
- CVE-2022-4203 – X.509 Name Constraints Read Buffer Overflow
- CVE-2022-4304 – Timing Oracle in RSA Decryption
- CVE-2022-4450 – Double free after calling PEM_read_bio_ex
- CVE-2023-0215 – Use-after-free following BIO_new_NDEF
- CVE-2023-0216 – Invalid pointer dereference in d2i_PKCS7 functions
- CVE-2023-0217 – NULL dereference validating DSA public key
- CVE-2023-0401 – NULL dereference during PKCS7 data verification
La explotación exitosa de las deficiencias anteriores podría provocar un bloqueo de la aplicación, revelar el contenido de la memoria e incluso recuperar mensajes de texto sin formato enviados a través de una red aprovechando un canal lateral basado en el tiempo en lo que es un ataque al estilo de Bleichenbacher.
Las correcciones llegan casi dos meses después de que OpenSSL conectara una falla de baja gravedad (CVE-2022-3996) que surge al procesar un certificado X.509, lo que resulta en una condición de denegación de servicio.
