TLP:CLEAR
PAP:WHITE
Aviso de seguridad de Debian para openssl
Se han descubierto
múltiples vulnerabilidades en OpenSSL, un conjunto de herramientas de capa de sockets seguros.
- CVE-2023-0464: fallo relacionado con la verificación de las cadenas de certificados X.509 que incluyen restricciones de política, lo que puede resultar en una denegación de servicio.
- CVE-2023-0465: las políticas de certificados no válidos en los certificados de hoja se ignoran silenciosamente. Una CA malintencionada podría aprovechar esta falla para afirmar deliberadamente políticas de certificados no válidas a fin de eludir por completo la verificación de políticas en el certificado.
- CVE-2023-0466: la implementación de la función X509_VERIFY_PARAM_add0_policy() no habilita la verificación que permite que los certificados con políticas no válidas o incorrectas pasen la verificación del certificado (al contrario de su documentación).
- CVE-2023-2650: el procesamiento de datos o identificadores de objetos ASN.1 con formato incorrecto puede provocar la denegación del servicio.
Para la distribución estable (bullseye), estos problemas se han solucionado en la
versión 1.1.1n-0+deb11u5.
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo
csirt@seresco.es