CSIRT Panamá Aviso 2021-08-27 OpenSSL: Actualización de seguridad en OpenSSL

TOPICS:

Posted By: CSIRT Panamá August 27, 2021

CSIRT Panamá Aviso 2021-08-27 OpenSSL: Actualización de seguridad en OpenSSL

Gravedad: Alta
Fecha de publicación: Agosto 27, 2021
Última revisión: Agosto 27, 2021
Sitio web: https://www.openssl.org/
Sistemas Afectados:
• OpenSLL, versión 1.1.1k y anteriores;
• OpenSLL, versión 1.0.2y y anteriores

I. Descripción

Los investigadores John Ouyang e Ingo Schwarze han reportado a OpenSSL una vulnerabilidad de severidad alta y otra de severidad media que podrían permitir a un atacante causar una condición de denegación de servicio o divulgar información sensible.

II. Impacto

Vulnerabilidad: CVE-2021-3711

Una vulnerabilidad de desbordamiento de búfer, siendo el basado en memoria dinámica (heap) el más común, debida a un error en la implementación del código de descifrado SM2, podría permitir a un atacante causar una condición de denegación de servicio o cambiar el comportamiento de una aplicación.

Vulnerabilidad: CVE-2021-3712.

Una vulnerabilidad de desbordamiento de búfer de lectura al procesar cadenas ASN.1. Un atacante que aproveche la vulnerabilidad puede revelar contenido de memoria privada o realizar un ataque de denegación de servicio (DoS).

III. Referencia a soluciones, herramientas e información

Instalar las Actualizar a la versión 1.1.1l, salvo los usuarios con soporte Premium de OpenSSL 1.0.2 que deberán actualizar a la versión 1.0.2za.

Las versiones OpenSSL 1.0.2 y 1.1.0 dejan de recibir soporte, por lo que los usuarios deben actualizar a la versión 1.1.1l.

Actualización mediante el siguiente enlace: https://www.openssl.org/source/

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en OpenSSL. 27 de agosto del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-openssl-1
  2. OpenSSL Security Advisory. 24 Agosto2021. Recopilado en: https://www.openssl.org/news/secadv/20210824.txt
  3. Centro de coordinación de Japón (JPCERT). 25 de agosto del 2021. Recopilado en: https://www.jpcert.or.jp/english/at/2021/at210036.html

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124