Importancia:
4 – Alta
Recursos afectados:
  • OpenSSL 1.1.0
  • OpenSSL 1.0.2
  • OpenSSL 1.0.1: Las versiones anteriores a la 1.0.1g que explicitamente habiliten OCSP y las posteriores a 1.0.1g.
Descripción:

OpenSSL ha publicado un boletín en el que se corrigen varias vulnerabilidades, una de ellas de alta criticidad.

Solución:
  • Para los usuarios con OpenSSL 1.1.0: Actualizar a 1.1.0a
  • Para los usuarios con OpenSSL 1.0.2: Actualizar a 1.0.2i
  • Para los usuarios con OpenSSL 1.0.1: Actualizar a 1.0.1u
Detalle:

La vulnerabilidad de criticidad alta que se soluciona en la actualización es la siguiente:

  • Crecimiento de la memoria fuera de límites por extensión de OCSP Status Request: un atacante malintencionado puede enviar una extensión de OCSP Status Request excesivamente larga, lo que provocaría un crecimiento de la memoria fuera de límites en el servidor lo que, a la larga, podría provocar una denegación de servicio. Están afectados los servidores con la configuración por defecto, incluso aquellos que no soportan OCSP.
X