Vulnerabilidad de OpenSSL afecta a productos F5

05 Octubre 2021
Alto

Las cadenas ASN.1 se representan internamente dentro de OpenSSL como estructura ASN1_STRING, estructura que contiene un buffer el cual consta de los datos de la cadena y un campo con su longitud.

Si un actor malintencionado puede hacer que una aplicación construya directamente un ASN1_STRING y luego lo procese a través de una de las funciones OpenSSL afectadas, podría ocasionar indisponibilidad. 

Un atacante remoto puede aprovechar la vulnerabilidad activando una aplicación para crear un ASN1_STRING y procesarlo con una función OpenSSL afectada para acceder a información restringida o provocar una denegación de servicio (DoS).

Severidad Alta

CVE-2021-3712 [CVSSv3 de 7,4]
Vulnerabilidad OpenSSL

Cuando una aplicación solicita que se imprima una estructura ASN.1, donde esta estructura contiene ASN1_STRING y la construcción de dicha estructura creada por la aplicación asigna al campo "datos” una terminación distinta a NUL,  esta puede provocar desbordamiento de búfer de lectura.

El mismo fallo puede ocurrir durante el procesamiento de las restricciones de nombre de los certificados dado que al igual que el ejemplo anterior si la aplicación construye un certificado directamente en lugar de cargarlo a través de las funciones de análisis de OpenSSL podría culminar aplicando al campo "datos” una terminación distinta a NUL.

Cabe destacar que este fallo también aplica en las funciones X509_get1_email, X509_REQ_get1_email y X509_get1_ocsp.

Por consecuencia esto podría provocar un bloqueo por medio de un ataque de denegación de servicio, al igual que en la divulgación de contenido de memoria privada como claves de usuarios o texto plano sensible.

Versiones afectadas:

  • OpenSSL versión 1.1.1k y anteriores.
  • OpenSSL 1.0.2y y anteriores.

Productos Afectados

F5 por su parte a declarado los productos que se pueden ver afectos a este fallo de Open SSL, los cuales son:

  • BIG-IP
  • BIG-IP iRulesLX / iAppsLX y BIG-IQ
  • BIG-IP APM Oracle Access Manager
  • F5 Access
  • BIG-IP Edge Client
  • F5OS
  • SDC-1338 Traffix SDC 5.1.x
  • SDC-1341 Traffix SDC 5.2.x

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante cuando esten disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #OpenSSL #Parche #F5 #BIG-IP #F5OS #CVE-2021-3712


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.