Los investigadores John Ouyang e Ingo Schwarze han reportado a OpenSSL una vulnerabilidad de severidad alta y otra de severidad media que podrían permitir a un atacante causar una condición de denegación de servicio o divulgar información sensible.
Solución:
Actualizar a la versión 1.1.1l, salvo los usuarios con soporte Premium de OpenSSL 1.0.2 que deberán actualizar a la versión 1.0.2za.
Las versiones OpenSSL 1.0.2 y 1.1.0 dejan de recibir soporte, por lo que los usuarios deben actualizar a la versión 1.1.1l.
Detalle:
Una vulnerabilidad de desbordamiento de búfer, siendo el basado en memoria dinámica (heap) el más común, debida a un error en la implementación del código de descifrado SM2, podría permitir a un atacante causar una condición de denegación de servicio o cambiar el comportamiento de una aplicación. Se ha asignado el identificador CVE-2021-3711 para esta vulnerabilidad de severidad alta.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2021-3712.
Referencias: OpenSSL Security Advisory [24 August 2021]