Importancia:
4 – Alta
Recursos afectados:
- OpenSSL 1.1.0
- OpenSSL 1.0.2
- OpenSSL 1.0.1: Las versiones anteriores a la 1.0.1g que explicitamente habiliten OCSP y las posteriores a 1.0.1g.
Descripción:
OpenSSL ha publicado un boletín en el que se corrigen varias vulnerabilidades, una de ellas de alta criticidad.
Solución:
- Para los usuarios con OpenSSL 1.1.0: Actualizar a 1.1.0a
- Para los usuarios con OpenSSL 1.0.2: Actualizar a 1.0.2i
- Para los usuarios con OpenSSL 1.0.1: Actualizar a 1.0.1u
Detalle:
La vulnerabilidad de criticidad alta que se soluciona en la actualización es la siguiente:
- Crecimiento de la memoria fuera de límites por extensión de OCSP Status Request: un atacante malintencionado puede enviar una extensión de OCSP Status Request excesivamente larga, lo que provocaría un crecimiento de la memoria fuera de límites en el servidor lo que, a la larga, podría provocar una denegación de servicio. Están afectados los servidores con la configuración por defecto, incluso aquellos que no soportan OCSP.
Referencias:
