El nuevo error de bucle infinito en OpenSSL podría permitir que los atacantes bloqueen los servidores remotos

OpenSSL Noticias

Los mantenedores de OpenSSL tienen parches enviados para resolver una falla de seguridad de alta gravedad en su biblioteca de software que podría conducir a una condición de denegación de servicio (DoS) al analizar certificados.

rastreado como CVE-2022-0778 (puntuación CVSS: 7,5), el problema se deriva del análisis de un certificado con formato incorrecto con contenido explícito no válido curva elíptica parámetros, lo que da como resultado lo que se llama un «bucle infinito». La falla reside en una función llamada BN_mod_sqrt() que se usa para calcular la raíz cuadrada modular.

«Dado que el análisis de certificados ocurre antes de la verificación de la firma del certificado, cualquier proceso que analice un certificado proporcionado externamente puede estar sujeto a un ataque de denegación de servicio», dijo OpenSSL en un aviso publicado el 15 de marzo de 2022.

«El bucle infinito también se puede alcanzar al analizar claves privadas diseñadas, ya que pueden contener parámetros explícitos de curva elíptica».

Si bien no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, hay algunos escenarios en los que podría convertirse en un arma, incluso cuando los clientes (o servidores) TLS acceden a un certificado no autorizado desde un servidor (o cliente) malicioso, o cuando el certificado las autoridades analizan las solicitudes de certificación de los suscriptores.

La vulnerabilidad afecta las versiones de OpenSSL 1.0.2, 1.1.1 y 3.0, los propietarios del proyecto abordaron la falla con el lanzamiento de las versiones 1.0.2zd (para clientes de soporte premium), 1.1.1n y 3.0.2. OpenSSL 1.1.0, aunque también se ve afectado, no recibirá una solución ya que ha llegado al final de su vida útil.

Acreditado por informar la falla el 24 de febrero de 2022, está el investigador de seguridad de Google Project Zero, Tavis Ormandy. La solución fue desarrollada por David Benjamin de Google y Tomáš Mráz de OpenSSL.

CVE-2022-0778 es también la segunda vulnerabilidad de OpenSSL resuelta desde principios de año. El 28 de enero de 2022, los mantenedores corrigieron una falla de gravedad moderada (CVE-2021-4160puntaje CVSS: 5.9) que afecta el procedimiento de cuadratura MIPS32 y MIPS64 de la biblioteca.

David
Rate author
Hackarizona