Los mantenedores del proyecto OpenSSL han lanzado parches para abordar un error de alta gravedad en la biblioteca criptográfica que podría conducir a la ejecución remota de código en ciertos escenarios.
los temaahora asignado el identificador CVE-2022-2274se ha descrito como un caso de corrupción de la memoria del montón con la operación de clave privada RSA que se introdujo en la versión 3.0.4 de OpenSSL lanzada el 21 de junio de 2022.
Lanzado por primera vez en 1998, OpenSSL es un biblioteca de criptografía que ofrece una implementación de código abierto de los protocolos Secure Sockets Layer (SSL) y Transport Layer Security (TLS), lo que permite a los usuarios generar claves privadas, crear solicitudes de firma de certificados (CSR), instale certificados SSL/TLS.
«Los servidores SSL/TLS u otros servidores que usan claves privadas RSA de 2048 bits que se ejecutan en máquinas que admiten las instrucciones AVX512IFMA de la arquitectura X86_64 se ven afectados por este problema», dice el aviso. señalado.
Llamándolo un «error grave en la implementación de RSA», los mantenedores dijeron que la falla podría conducir a la corrupción de la memoria durante el cálculo que un atacante podría utilizar como arma para desencadenar la ejecución remota del código en la máquina que realiza el cálculo.
Xi Ruoyao, un doctorado. estudiante de la Universidad de Xidian, se le atribuye haber informado la falla a OpenSSL el 22 de junio de 2022. Se recomienda a los usuarios de la biblioteca actualizar a OpenSSL versión 3.0.5 para mitigar cualquier amenaza potencial.