{"id":617567,"date":"2023-02-10T01:19:26","date_gmt":"2023-02-10T01:19:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/openssl-corrige-multiples-fallas-de-seguridad-nuevas-con-la-ultima-actualizacion\/"},"modified":"2023-02-10T01:19:28","modified_gmt":"2023-02-10T01:19:28","slug":"openssl-corrige-multiples-fallas-de-seguridad-nuevas-con-la-ultima-actualizacion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/openssl-corrige-multiples-fallas-de-seguridad-nuevas-con-la-ultima-actualizacion\/","title":{"rendered":"OpenSSL corrige m\u00faltiples fallas de seguridad nuevas con la \u00faltima actualizaci\u00f3n"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 de febrero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Cifrado \/ Vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El Proyecto OpenSSL ha publicado correcciones para abordar varios fallos de seguridad, incluido un error de alta gravedad en el conjunto de herramientas de cifrado de c\u00f3digo abierto que podr\u00eda exponer a los usuarios a ataques maliciosos.<\/p>\n<p>rastreado como <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-0286\" target=\"_blank\"><strong>CVE-2023-0286<\/strong><\/a>el problema se relaciona con un caso de confusi\u00f3n de tipos que puede permitir que un adversario &#8220;lea el contenido de la memoria o promulgue una denegaci\u00f3n de servicio&#8221;, dijeron los mantenedores en un aviso.<\/p>\n<p>La vulnerabilidad tiene su origen en la forma en que la popular biblioteca criptogr\u00e1fica maneja los certificados X.509 y es probable que afecte solo a aquellas aplicaciones que tienen una implementaci\u00f3n personalizada para recuperar una lista de revocaci\u00f3n de certificados (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Certificate_revocation_list\" target=\"_blank\">CRL<\/a>) a trav\u00e9s de una red.<\/p>\n<p>&#8220;En la mayor\u00eda de los casos, el ataque requiere que el atacante proporcione tanto la cadena de certificados como la CRL, ninguno de los cuales necesita tener una firma v\u00e1lida&#8221;, OpenSSL <a rel=\"nofollow noopener\" href=\"https:\/\/www.openssl.org\/news\/vulnerabilities.html\" target=\"_blank\">dicho<\/a>.  &#8220;Si el atacante solo controla una de estas entradas, la otra entrada ya debe contener una direcci\u00f3n X.400 como punto de distribuci\u00f3n de CRL, lo cual es poco com\u00fan&#8221;.<\/p>\n<p>Errores de confusi\u00f3n de tipo podr\u00edan tener <a rel=\"nofollow noopener\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/843.html\" target=\"_blank\">consecuencias graves<\/a>ya que podr\u00edan usarse como armas para obligar deliberadamente al programa a comportarse de manera no deseada, lo que posiblemente provoque un bloqueo o la ejecuci\u00f3n del c\u00f3digo.<\/p>\n<p>El problema se solucion\u00f3 en las versiones 3.0.8, 1.1.1t y 1.0.2zg de OpenSSL.  Otros fallos de seguridad <a rel=\"nofollow noopener\" href=\"https:\/\/www.openssl.org\/news\/secadv\/20230207.txt\" target=\"_blank\">dirigido<\/a> como parte de las \u00faltimas actualizaciones incluyen:<\/p>\n<ul>\n<li><strong>CVE-2022-4203<\/strong> &#8211; Restricciones de nombre X.509 Desbordamiento de b\u00fafer de lectura<\/li>\n<li><strong>CVE-2022-4304<\/strong> &#8211; Temporizaci\u00f3n de Oracle en el descifrado RSA<\/li>\n<li><strong>CVE-2022-4450<\/strong> &#8211; Doble gratis despu\u00e9s de llamar a PEM_read_bio_ex<\/li>\n<li><strong>CVE-2023-0215<\/strong> &#8211; Use-after-free siguiendo BIO_new_NDEF <\/li>\n<li><strong>CVE-2023-0216<\/strong> &#8211; Desreferencia de puntero no v\u00e1lida en funciones d2i_PKCS7<\/li>\n<li><strong>CVE-2023-0217<\/strong> &#8211; Desreferencia NULL que valida la clave p\u00fablica DSA<\/li>\n<li><strong>CVE-2023-0401<\/strong> &#8211; Desreferencia NULL durante la verificaci\u00f3n de datos PKCS7<\/li>\n<\/ul>\n<p>La explotaci\u00f3n exitosa de las deficiencias anteriores podr\u00eda provocar un bloqueo de la aplicaci\u00f3n, revelar el contenido de la memoria e incluso recuperar mensajes de texto sin formato enviados a trav\u00e9s de una red aprovechando un <a rel=\"nofollow noopener\" href=\"https:\/\/nakedsecurity.sophos.com\/2023\/02\/08\/openssl-fixes-high-severity-data-stealing-bug-patch-now\/\" target=\"_blank\">canal lateral basado en tiempo<\/a> en lo que es un ataque al estilo Bleichenbacher.<\/p>\n<p>Las correcciones llegan casi dos meses despu\u00e9s de que OpenSSL corrigi\u00f3 una falla de baja gravedad (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-3996\" target=\"_blank\">CVE-2022-3996<\/a>) que surge al procesar un certificado X.509, lo que resulta en una condici\u00f3n de denegaci\u00f3n de servicio.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/openssl-fixes-multiple-new-security.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 de febrero de 2023\ue804Ravie Lakshman\u00e1nCifrado \/ Vulnerabilidad El Proyecto OpenSSL ha publicado correcciones para abordar varios fallos<\/p>\n","protected":false},"author":1,"featured_media":617568,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[2456,4657,4656,4661,4664,99,24631,3233,4662,4668,4667,7608,4654,4658,4659,4653,4655,2498,28580,4663,42,4666,4665,1726,4660],"class_list":["post-617567","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizacion","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-corrige","tag-fallas","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-multiples","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevas","tag-openssl","tag-programa-malicioso-ransomware","tag-seguridad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-ultima","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/617567","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=617567"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/617567\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/617568"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=617567"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=617567"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=617567"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}