Vulnerabilidad en OpenSSL (CVE-2024-0727)

Resumen del problema: el procesamiento de un archivo PKCS12 con formato malintencionado puede hacer que OpenSSL falle y provoque un posible ataque de denegación de servicio. Resumen de impacto: las aplicaciones que cargan archivos en formato PKCS12 desde fuentes que no son de confianza pueden finalizar abruptamente. Un archivo en formato PKCS12 puede contener certificados y claves y puede provenir de una fuente que no es de confianza. La especificación PKCS12 permite que ciertos campos sean NULL, pero OpenSSL no verifica correctamente este caso. Esto puede provocar una desreferencia del puntero NULL que provoque el bloqueo de OpenSSL. Si una aplicación procesa archivos PKCS12 de una fuente que no es de confianza utilizando las API de OpenSSL, esa aplicación será vulnerable a este problema. Las API de OpenSSL que son vulnerables a esto son: PKCS12_parse(), PKCS12_unpack_p7data(), PKCS12_unpack_p7encdata(), PKCS12_unpack_authsafes() y PKCS12_newpass(). También solucionamos un problema similar en SMIME_write_PKCS7(). Sin embargo, dado que esta función está relacionada con la escritura de datos, no la consideramos importante para la seguridad. Los módulos FIPS en 3.2, 3.1 y 3.0 no se ven afectados por este problema.