Los mantenedores de OpenSSL tienen parches enviados<\/a> para resolver una falla de seguridad de alta gravedad en su biblioteca de software que podr\u00eda conducir a una condici\u00f3n de denegaci\u00f3n de servicio (DoS) al analizar certificados.<\/p>\n rastreado como CVE-2022-0778<\/a> (puntuaci\u00f3n CVSS: 7,5), el problema se deriva del an\u00e1lisis de un certificado con formato incorrecto con contenido expl\u00edcito no v\u00e1lido curva el\u00edptica<\/a> par\u00e1metros, lo que da como resultado lo que se llama un “bucle infinito”. La falla reside en una funci\u00f3n llamada BN_mod_sqrt() que se usa para calcular la ra\u00edz cuadrada modular.<\/p>\n “Dado que el an\u00e1lisis de certificados ocurre antes de la verificaci\u00f3n de la firma del certificado, cualquier proceso que analice un certificado proporcionado externamente puede estar sujeto a un ataque de denegaci\u00f3n de servicio”, dijo OpenSSL en un aviso publicado el 15 de marzo de 2022.<\/p>\n “El bucle infinito tambi\u00e9n se puede alcanzar al analizar claves privadas dise\u00f1adas, ya que pueden contener par\u00e1metros expl\u00edcitos de curva el\u00edptica”.<\/p>\n Si bien no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, hay algunos escenarios en los que podr\u00eda convertirse en un arma, incluso cuando los clientes (o servidores) TLS acceden a un certificado no autorizado desde un servidor (o cliente) malicioso, o cuando el certificado las autoridades analizan las solicitudes de certificaci\u00f3n de los suscriptores.<\/p>\n La vulnerabilidad afecta las versiones de OpenSSL 1.0.2, 1.1.1 y 3.0, los propietarios del proyecto abordaron la falla con el lanzamiento de las versiones 1.0.2zd (para clientes de soporte premium), 1.1.1n y 3.0.2. OpenSSL 1.1.0, aunque tambi\u00e9n se ve afectado, no recibir\u00e1 una soluci\u00f3n ya que ha llegado al final de su vida \u00fatil.<\/p>\n Acreditado por informar la falla el 24 de febrero de 2022, est\u00e1 el investigador de seguridad de Google Project Zero, Tavis Ormandy. La soluci\u00f3n fue desarrollada por David Benjamin de Google y Tom\u00e1\u0161 Mr\u00e1z de OpenSSL.<\/p>\n CVE-2022-0778 es tambi\u00e9n la segunda vulnerabilidad de OpenSSL resuelta desde principios de a\u00f1o. El 28 de enero de 2022, los mantenedores corrigieron una falla de gravedad moderada (CVE-2021-4160<\/a>puntaje CVSS: 5.9) que afecta el procedimiento de cuadratura MIPS32 y MIPS64 de la biblioteca.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Alertas-de-CISA-sobre-fallas-explotadas-activamente-en-la-plataforma.png\")
<\/a><\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n