OpenSSL publica nuevo aviso de seguridad que afecta a sus versiones

OpenSSL ha publicado un aviso de seguridad que contempla 1 vulnerabilidad, la cual es de severidad baja, afectando a  todas las versiones compatibles de OpenSSL relacionadas con la verificación de certificados X.509.

(CVE-2023-0464)
Uso excesivo de recursos verificación de restricciones de política X.509

Esta vulnerabilidad podría permitir a los atacantes crear cadenas de certificados maliciosas que lleven a requerir un uso excesivo de recursos del sistema, provocando un ataque de denegación de servicios (DoS) en los sistemas afectados.

El procesamiento de políticas está desactivado por defecto, pero puede activarse ingresando el argumento `-policy' a las utilidades de la línea de comandos o llamando al comando `X509_VERIFY_PARAM_set1_policies()'.

Nota:
Debido a la baja gravedad de esta vulnerabilidad, OpenSSL decidió no publicar nuevas versiones por ahora, la solución será incluida en las próximas versiones cuando estén disponibles.

Una vez sean publicadas, los clientes deberan actualizar a las siguientes versiones:

• De OpenSSL 3.1 actualizar a 3.1.1.
• De OpenSSL 3.0 actualizar a 3.0.9.
• De OpenSSL 1.1.1 actualizar a 1.1.1u.
• De OpenSSL 1.0.2 actualizar a 1.0.2zh (sólo clientes de soporte premium).

OpenSSL 1.1.1 llegará al final de su vida útil el 09-11-2023. Después de esa fecha las correcciones de seguridad para la versión 1.1.1 estarán solo disponibles para los clientes de soporte premium.

Certificados X.509

Son documentos digitales que representan a un usuario, equipo, servicio o dispositivo. Una entidad de certificación (CA), una CA subordinada o una autoridad de registro emisora de certificados X.509. Los certificados contienen la clave pública del firmante del certificado. No contienen la clave privada del firmante, la cual se debe almacenar de forma segura.

RFC 5280 documenta certificados de clave pública, incluidos sus campos y extensiones. Los certificados de clave pública están firmados digitalmente y, por lo general, contienen la siguiente información:

• Información sobre el firmante del certificado.
• La clave pública que corresponde a la clave privada del firmante.
• Información acerca de la entidad de certificación emisora.
• Algoritmos de cifrado y de firma digital admitidos.
• Información para determinar la revocación y el estado de validez del certificado.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.