Publicáronse actualizacións de seguridade para OpenSSL que corrixen múltiples vulnerabilidades, entre elas unha de alta severidade que pode permitir a execución remota de código en determinadas condicións. OpenSSL é unha biblioteca criptográfica amplamente utilizada para comunicacións seguras mediante SSL/TLS, polo que o seu impacto potencial é elevado.
Segundo a información dispoñible, algunhas das vulnerabilidades afectan ao procesamento de datos non fiables en formatos como CMS ou PKCS#7, podendo provocar fallos de memoria, denegación de servizo e, en escenarios concretos, execución de código arbitrario.
Riscos asociados
A explotación destas vulnerabilidades pode dar lugar a distintos riscos, entre eles:
- Execución remota de código en aplicacións que procesan datos non fiables
- Denegación de servizo por fallo do proceso afectado
- Compromiso da dispoñibilidade e integridade dos servizos
- Impacto en aplicacións críticas que dependen de OpenSSL para comunicacións seguras
Dado o uso estendido desta biblioteca, o impacto potencial pode afectar a múltiples sistemas e servizos.
Sistemas afectados
Poden verse afectados sistemas que cumpran algunha das seguintes condicións:
- Uso de versións vulnerables de OpenSSL
- Aplicacións que procesan datos CMS, PKCS#7 ou formatos similares
- Servizos expostos a datos non fiables procedentes de fontes externas
- Sistemas que non teñan aplicadas as últimas actualizacións de seguridade
Recomendacións
Recoméndase ás organizacións, especialmente ás entidades públicas e entidades locais, adoptar as seguintes medidas:
- Identificar os sistemas e aplicacións que empregan OpenSSL
- Verificar a versión instalada e comprobar se se atopa afectada
- Aplicar as actualizacións de seguridade publicadas polos fabricantes
- Reiniciar os servizos afectados tras a actualización
- Revisar a exposición de servizos que procesen datos non fiables
- Monitorizar posibles comportamentos anómalos nos sistemas afectados
Contexto normativo
A aplicación oportuna de actualizacións de seguridade e a xestión de vulnerabilidades aliñanse cos principios do Esquema Nacional de Seguridade, especialmente no relativo á protección dos sistemas, á xestión de cambios e á prevención de incidentes.
Conclusión
OpenSSL é un compoñente crítico en numerosos sistemas. A corrección destas vulnerabilidades resulta esencial para reducir riscos de seguridade e garantir a continuidade dos servizos. Recoméndase revisar de forma prioritaria os sistemas afectados e aplicar as medidas necesarias canto antes.
