Se descubrió que la última versión de la biblioteca OpenSSL es susceptible a una vulnerabilidad de corrupción de memoria remota en sistemas seleccionados.
El problema ha sido identificado en OpenSSL versión 3.0.4que se lanzó el 21 de junio de 2022 e impacta en los sistemas x64 con la AVX-512 conjunto de instrucciones. OpenSSL 1.1.1, así como las bifurcaciones de OpenSSL, BoringSSL y LibreSSL, no se ven afectadas.
El investigador de seguridad Guido Vranken, quien reportó el error a fines de mayo, dijo «puede ser activado trivialmente por un atacante». Aunque la deficiencia ha sido fijadotodavía no hay parches disponibles.
OpenSSL es una biblioteca de criptografía popular que ofrece una implementación de código abierto de la Seguridad de la capa de transporte (TLS) protocolo. Extensiones vectoriales avanzadas (AVX) son extensiones de la arquitectura del conjunto de instrucciones x86 para microprocesadores de Intel y AMD.
«No creo que esta sea una vulnerabilidad de seguridad», dijo Tomáš Mráz de OpenSSL Foundation en un hilo de GitHub. «Es solo un error grave que hace que la versión 3.0.4 no se pueda usar en máquinas compatibles con AVX-512».
Por otro lado, Alex Gaynor señaló: «No estoy seguro de entender cómo no es una vulnerabilidad de seguridad. Es un desbordamiento de búfer de almacenamiento dinámico que puede activarse mediante cosas como firmas RSA, que pueden ocurrir fácilmente en contextos remotos (por ejemplo, un protocolo de enlace TLS ).»
Xi Ruoyao, estudiante de posgrado en la Universidad de Xidian, intervino y afirmó que aunque «creo que no deberíamos marcar un error como ‘vulnerabilidad de seguridad’ a menos que tengamos alguna evidencia que demuestre que puede (o al menos puede) ser explotado». es necesario lanzar la versión 3.0.5 lo antes posible dada la gravedad del problema.