CSIRT Panamá Aviso 2021-03-26 OpenSSL: Múltiples vulnerabilidades en OpenSSL

TOPICS:

Posted By: CSIRT Panamá March 26, 2021

CSIRT Panamá Aviso 2021-03-26 OpenSSL: Múltiples vulnerabilidades en OpenSSL

Gravedad: Alta
Fecha de publicación: Marzo 26, 2021
Última revisión: Marzo 26, 2021
Sitio web: https://www.openssl.org/
Sistemas Afectados: Los recursos afectados son:
• OpenSSL 1.1.1h y versiones posteriores están afectadas por la vulnerabilidad CVE-2021-3450.
• todas las versiones de OpenSSL 1.1.1 están afectadas por la vulnerabilidad CVE-2021-3449.

I. Descripción
Vulnerabilidades de severidad crítica, relacionada a denegación de servicio (DoS) y validación inadecuada del certificado de la Autoridad de Certificación (CA).

II. Impacto
Vulnerabilidad: CVE-2021-3450
Esta vulnerabilidad podría permitir eludir por completo la verificación de un certificado, al no comprobar correctamente la validez de los certificados. Solo afecta si se ha activado el flag X509_V_FLAG_X509_STRICT (no está activo por defecto).
Vulnerabilidad: CVE-2021-3449
Un servidor TLS de OpenSSL podría fallar si se le envía un mensaje de renegociación ClientHello de un cliente, lo que generaría una condición de DoS. Un servidor sólo es vulnerable si tiene TLSv1.2 y la renegociación activada (configuración por defecto). Los clientes TLS de OpenSSL no se ven afectados por este problema.

III. Referencia a soluciones, herramientas e información
Aplicar actualizaciones de los productos OpenSSL a la versión 1.1.1. Enlace de información: https://www.openssl.org/source/
Nota importante: las versiones 1.0.2 y 1.1.0 ya no reciben soporte ni actualizaciones, por lo que los usuarios deben actualizar a la versión 1.1.1.

Fuentes:
– Instituto Nacional de Ciberseguridad (INCIBE). Avisos Seguridad, Múltiples vulnerabilidades en OpenSSL. 26 Marzo 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-openssl-0
– OpenSSL. Security Advisory. 25 Marzo 2021. Recopilado en: https://www.openssl.org/news/secadv/20210325.txt

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124