VMware ha publicado 1 aviso de seguridad que contempla 1 vulnerabilidad de severidad baja. Dichas vulnerabilidades afectan varias APIs de OpenSSL.
Severidad Baja
CVE-2024-9143 [CVSSv3.0: .]
Los parámetros GF(2^m) no válidos de bajo nivel provocan acceso a memoria OOB
El uso de las API de curva elíptica GF(2^m) de bajo nivel con valores explícitos no confiables para el polinomio de campo puede generar lecturas o escrituras de memoria fuera de los límites, lo que puede provocar un bloqueo de la aplicación o incluso la posibilidad de una ejecución remota de código; sin embargo, en todos los protocolos que involucran criptografía de curva elíptica que conocemos, solo se admiten «curvas con nombre» o, si se admiten parámetros de curva explícitos, especifican una codificación X9.62 de curvas binarias (GF(2^m)) que no pueden representar valores de entrada problemáticos. Por lo tanto, la probabilidad de que exista una aplicación vulnerable es baja.
En particular, la codificación X9.62 se utiliza para claves ECC en certificados X.509, por lo que no pueden producirse entradas problemáticas en el contexto del procesamiento de certificados X.509. En cualquier caso de uso problemático tendría que utilizar una codificación de curva «exótica».
Las APIs afectadas incluyen:
- Función API EC_GROUP_new_curve_GF2m()
- Función API EC_GROUP_new_from_params()
- Función API BN_GF2m_*()
Plan de acción
Se recomienda lo siguiente:
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Fuentes Utilizadas
