OpenSSL ha publicado
una actualización de la popular librería, en la que se han corregido dos
vulnerabilidades, una lectura de memoria fuera de límites y un fallo de acarreo
que podría facilitar la obtención de la clave privada.
El fallo de
propagación de acarreo ocurre en el procedimiento x86_64 Montgomery. Este fallo
solo afecta a procesadores que soportan las extensiones BMI1, BMI2 y ADX, por
ejemplo, los procesadores Intel Broadwell y posteriores o los AMD Ryzen.
Aunque se cree que
pueda afectar al material criptográfico y poner en riesgo la integridad de la
clave privada, se necesitaría una gran cantidad de recursos computacionales y
un escenario con ciertos condicionantes que dificultan efectuar un ataque
práctico. Este fallo posee el CVE-2017-3736.
El error de lectura
fuera de límites, de un solo byte, ocurre al procesar la extensión
IPAdressFamily en un certificado X.509 especialmente manipulado. Posee el
CVE-2017-3735. Como dato curioso, ha estado presente en las librerías OpenSSL
desde el año 2006.
Ambos fallos han sido
hallados por el equipo del proyecto OOS-Fuzz patrocinado por Google.
Se ha de actualizar a
las versiones de OpenSSL 1.1.0g y 1.0.2m de sus respectivas ramas.
Recomendamos que
actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.
Más información:
- OpenSSL Security Advisory https://www.openssl.org/news/secadv/20171102.txt
Fuente: Hispasec.com