OpenSSL es una biblioteca de software para aplicaciones que protegen las comunicaciones a través de redes informáticas contra escuchas o necesitan identificar a la parte en el otro extremo
Es ampliamente utilizado por los servidores de Internet, incluida la mayoría de los sitios web HTTPS. OpenSSL se usa ampliamente en servidores web en Internet. Por ejemplo, dispositivo cisco, servidor apache, servidor nginx, etc. El 25 de marzo de 021, OpenSSL emitióun aviso de riesgo de actualización de seguridad para OpenSSL. Los números de vulnerabilidad son CVE-2021-3450 y CVE-2021-3449.
CVE-2021-3450: vulnerabilidad de verificación de certificados
El indicador X509_V_FLAG_X509_STRICT permite verificaciones de seguridad adicionales de los certificados presentes en una cadena de certificados. No está configurado de forma predeterminada. A partir de la versión 1.1.1h de OpenSSL, se agregó una verificación para no permitir certificados en la cadena que tienen parámetros de curva elíptica codificados explícitamente como una verificación estricta adicional. Un error en la implementación de esta verificación significó que se sobrescribió el resultado de una verificación previa para confirmar que los certificados de la cadena son certificados CA válidos. La explotación exitosa puede permitir a un atacante realizar un ataque de intermediario (MiTM) y obtener información confidencial.
Versión afectada
OpenSSL 1.1.1h-1.1.1j
Versión no afectada
OpenSSL 1.1.1k
CVE-2021-3449: Vulnerabilidad de denegación de servicio
Un servidor OpenSSL TLS puede fallar si un cliente envía un mensaje ClientHello de renegociación creado con fines malintencionados.
Versión afectada
OpenSSL 1.1.1-1.1.1j
Versión no afectada
OpenSSL 1.1.1k
Solución
En este sentido, recomendamos que los usuarios actualicen OpenSSL a la última versión a tiempo.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
Fecha actualización el 2021-03-29. Fecha publicación el 2021-03-29. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: meterpreter