{"id":2649,"date":"2021-03-26T14:30:50","date_gmt":"2021-03-26T19:30:50","guid":{"rendered":"https:\/\/cert.pa\/?p=2649"},"modified":"2021-03-26T14:32:00","modified_gmt":"2021-03-26T19:32:00","slug":"csirt-panama-aviso-2021-03-26-openssl-multiples-vulnerabilidades-en-openssl","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=2649","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2021-03-26 OpenSSL: M\u00faltiples vulnerabilidades en OpenSSL"},"content":{"rendered":"\n<p>CSIRT Panam\u00e1 Aviso 2021-03-26 OpenSSL: M\u00faltiples vulnerabilidades en OpenSSL<\/p>\n\n\n\n<p>Gravedad: Alta                                                                                                   <br>\nFecha de publicaci\u00f3n: Marzo 26, 2021<br>\n\u00daltima revisi\u00f3n: Marzo 26, 2021<br>\nSitio web: https:\/\/www.openssl.org\/<br>\nSistemas Afectados: Los recursos afectados son: <br>\n\u2022    OpenSSL 1.1.1h y versiones posteriores est\u00e1n afectadas por la vulnerabilidad CVE-2021-3450.<br>\n\u2022    todas las versiones de OpenSSL 1.1.1 est\u00e1n afectadas por la vulnerabilidad CVE-2021-3449.<\/p>\n\n\n\n<p>I.    Descripci\u00f3n<br>\nVulnerabilidades de severidad cr\u00edtica, relacionada a denegaci\u00f3n de servicio (DoS) y validaci\u00f3n inadecuada del certificado de la Autoridad de Certificaci\u00f3n (CA).<\/p>\n\n\n\n<p>II.    Impacto<br>\nVulnerabilidad: CVE-2021-3450<br>\nEsta vulnerabilidad podr\u00eda permitir eludir por completo la verificaci\u00f3n de un certificado, al no comprobar correctamente la validez de los certificados. Solo afecta si se ha activado el flag X509_V_FLAG_X509_STRICT (no est\u00e1 activo por defecto).<br>\nVulnerabilidad: CVE-2021-3449<br>\nUn servidor TLS de OpenSSL podr\u00eda fallar si se le env\u00eda un mensaje de renegociaci\u00f3n ClientHello de un cliente, lo que generar\u00eda una condici\u00f3n de DoS. Un servidor s\u00f3lo es vulnerable si tiene TLSv1.2 y la renegociaci\u00f3n activada (configuraci\u00f3n por defecto). Los clientes TLS de OpenSSL no se ven afectados por este problema. <\/p>\n\n\n\n<p>III. Referencia a soluciones, herramientas e informaci\u00f3n<br>\nAplicar actualizaciones de los productos OpenSSL a la versi\u00f3n 1.1.1. Enlace de informaci\u00f3n: https:\/\/www.openssl.org\/source\/<br>\nNota importante: las versiones 1.0.2 y 1.1.0 ya no reciben soporte ni actualizaciones, por lo que los usuarios deben actualizar a la versi\u00f3n 1.1.1.<\/p>\n\n\n\n<p>Fuentes:<br> &#8211;    Instituto Nacional de Ciberseguridad (INCIBE). Avisos Seguridad, M\u00faltiples vulnerabilidades en OpenSSL. 26 Marzo 2021.  Recopilado en: https:\/\/www.incibe-cert.es\/alerta-temprana\/avisos-seguridad\/multiples-vulnerabilidades-openssl-0<br> &#8211;    OpenSSL.  Security Advisory. 25 Marzo 2021. Recopilado en: https:\/\/www.openssl.org\/news\/secadv\/20210325.txt<\/p>\n\n\n\n<p>Informaci\u00f3n de contacto<br>\nCSIRT PANAMA<br>\nComputer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental<br>\nE-Mail: info@cert.pa<br>\nPhone: +507 520-CERT (2378)<br>\nWeb: https:\/\/cert.pa<br>\nTwitter: @CSIRTPanama<br>\nKey ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"<p>CSIRT Panam\u00e1 Aviso 2021-03-26 OpenSSL: M\u00faltiples vulnerabilidades en OpenSSL Gravedad: Alta Fecha de publicaci\u00f3n: Marzo 26, 2021 \u00daltima revisi\u00f3n: Marzo 26, 2021 Sitio web: https:\/\/www.openssl.org\/ Sistemas Afectados: Los recursos afectados son: \u2022 OpenSSL 1.1.1h y&#8230;<\/p>\n","protected":false},"author":4,"featured_media":2652,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[8,143,68],"class_list":["post-2649","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos","tag-opensll","tag-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2649","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2649"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2649\/revisions"}],"predecessor-version":[{"id":2651,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2649\/revisions\/2651"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/2652"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2649"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2649"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2649"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}