-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [13/02/2023]: Vulnerabilidade de Type Confusion no OpenSSL Prezados(as), O CAIS alerta para uma recente vulnerabilidade classificada como alta pela OpenSSL que permite ao agente malicioso ler conteúdo arbitrário na memória e/ou executar ataque de negação de serviço. Até a última revisão deste alerta, não foram identificados códigos capazes de explorar esta vulnerabilidade. Descrição Foi identificada uma vulnerabilidade de Type Confusion na biblioteca OpenSSL.A falha está relacionada ao processamento de um endereço X.400 na extenção X.509 GeneralNames.Quando a flag X509_V_FLAG_CRL_CHECK está habilitada é permitido que o atacante passe apontadores arbitrários para a call memcmp. A exploração dessa vulnerabilidade depende da ativação da flag acima e muitas vezes também do agente malicioso fornecer tanto a cadeia de certificados quanto o CRL (Lista de Revogação de certificados), no entanto nenhum dos certificados necessita possuir uma assinatura válida. Caso o atacante controle apenas uma dessas entradas, a outra a entrada já deve conter um endereço X.400 como um ponto de distribuição CRL, porém essa condição de configuração é incomum. Sistemas impactados OpenSSL Versões afetadas OpenSSL nas versões 3.0, 1.1.1 e 1.0.2 Correções disponíveis OpenSSL 3.0 deve ser atualizado para OpenSSL 3.0.8 OpenSSL 1.1.1 deve ser atualizado para 1.1.1t OpenSSL 1.0.2 deve ser atualizado para 1.0.2zg Identificadores CVE (http://cve.mitre.org) CVE-2023-0286 Mais informações https://www.openssl.org/news/secadv/20230207.txt https://nvd.nist.gov/vuln/detail/CVE-2023-0286 https://access.redhat.com/security/cve/cve-2023-0286 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @RedeRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://cais.rnp.br/ # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJj6oSuCRDU96v9U5pXgAAAUnAP+gMpZPS9EJADA1VkmqSz 4FLry7M8wvr6CXtamb+6cgCDgAgOuTD0Uc80LY8eZrB9CJrp2ztR0P4zU1Zl Z/z2rd74sjK3LVDcG/O8lu7mJ48dqqtsfM+Bzc3Tg/E/KHDTlgWLqRrS+B/e C33oSRvrFBPYj8HqXJv1TTjDVpWc8nKuxEssYZhGfO7S/52/eaZ+NY6FlMJT UMWOroV01FhKIDt+oMNPLu8/c1EK/7XtZlH8GXCKx9En3r3BU77l5i9CEV4Q p4Vz9TM/AmDGGnOKJuvjQfsd8kRXWT32u+zJSx3ooq5frLY0iIkx+/6bm/rF nLD0JvpuPK679jG2/V+MhKz+lsXecsLHCTdnAtgDnarajq4XrfZKK6hAnVDc Rdd/jRyv/l7C5sQ4X2sz7fEjgjcL65YLqtsd2cjNO04oFJLxjJVOueGUhwnT c7tltTLj0L6dmD1MHOW4gf7rslgcZ18iO+lP7V4EfxAOAhpFs4HkABbbaPWZ YwBAEobB73fDVYCKQJeCeR9jL1KLModldZ4NNDvhuPH3HrWlHQ6DfF6eeDSe U3GyPHZrZ8Y0pQ4bkuoX30lgxWdeobh6+7rTMlPpe7zxqXJZdKSllaiVhILw fYHgIdruGw2qWeEMudYPOSEC0JmzaO9tfIqx7NY2wrim1vnmicB7VCTl5zui vXvM =SHuR -----END PGP SIGNATURE-----