Actualización de seguridad de la librería OpenSSL
OpenSSL soluciona dos vulnerabilidades, una lectura de memoria fuera de límites y un fallo de acarreo que podría facilitar la obtención de la clave privada.
Riesgo: Medio
El fallo de propagación de acarreo ocurre en el procedimiento x86_64 Montgomery. Aunque se cree que pueda afectar al material criptográfico y poner en riesgo la integridad de la clave privada, se necesitaría una gran cantidad de recursos computacionales y un escenario con ciertos condicionantes que dificultan efectuar un ataque práctico.
El error de lectura fuera de límites, de un solo byte, ocurre al procesar la extensión IPAdressFamily en un certificado X.509 especialmente manipulado.
Sistemas Afectados: OpenSSL
Referencias: CVE-2017-3736, CVE-2017-3735
Solución:
Se ha de actualizar a las versiones de OpenSSL 1.1.0g y 1.0.2m de sus respectivas ramas.
Notas:
OpenSSL Security Advisory
https://www.openssl.org/news/secadv/20171102.txt