Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 31/03/2021] Múltiples vulnerabilidades en OpenSSL

Fecha de publicación 26/03/2021
Importancia
4 - Alta
Recursos Afectados
  • OpenSSL 1.1.1h y versiones posteriores están afectadas por la vulnerabilidad CVE-2021-3450;
  • todas las versiones de OpenSSL 1.1.1 están afectadas por la vulnerabilidad CVE-2021-3449.

NOTA: las versiones 1.0.2 y 1.1.0 ya no reciben soporte ni actualizaciones, por lo que los usuarios deben actualizar a la versión 1.1.1.

[Actualización 30/03/2021]

  • Cisco Container Platform,
  • Cisco SD-WAN vEdge 1000 Series Routers,
  • Cisco SD-WAN vEdge 2000 Series Routers,
  • Cisco SD-WAN vEdge 5000 Series Routers,
  • Cisco SD-WAN vEdge Cloud Router Platform,
  • Cisco UCS Standalone C-Series Rack Server - Integrated Management Controller,
  • Cisco IP Conference Phone 7832,
  • Cisco IP Conference Phone 8832,
  • Cisco Meeting Management.

[Actualización 31/03/2021]

  • Cisco Identity Services Engine (ISE),
  • Cisco Threat Grid Appliance M5,
  • Cisco Business Process Automation,
  • Cisco Evolved Programmable Network Manager,
  • Cisco Managed Services Accelerator,
  • Cisco UCS B-Series Blade Servers,
  • Cisco IP Phone 6800 Series,
  • Cisco IP Phone 7800 Series,
  • Cisco IP Phone 8800 Series,
  • Cisco IP Phone 8845,
  • Cisco IP Phone 8865,  
  • Cisco Video Surveillance Media Server,
  • Cisco Webex Room Phone, Cisco Webex Share.

Cisco continúa evaluando la afectación en otros productos de su portfolio, para conocer el detalle visite el aviso disponible en su página web.

Descripción

Investigadores, de Akamai y Nokia, reportaron a OpenSSL 2 vulnerabilidades, ambas con severidad alta, de tipo denegación de servicio (DoS) y validación inadecuada del certificado de la Autoridad de Certificación (CA).

Solución

Actualizar OpenSSL a la versión 1.1.1k.

Detalle
  • Esta vulnerabilidad podría permitir eludir por completo la verificación de un certificado, al no comprobar correctamente la validez de los certificados. Solo afecta si se ha activado el flag X509_V_FLAG_X509_STRICT (no está activo por defecto). Se ha asignado el identificador CVE-2021-3450 para esta vulnerabilidad.
  • Un servidor TLS de OpenSSL podría fallar si se le envía un mensaje de renegociación ClientHello de un cliente, lo que generaría una condición de DoS. Un servidor sólo es vulnerable si tiene TLSv1.2 y la renegociación activada (configuración por defecto). Los clientes TLS de OpenSSL no se ven afectados por este problema. Se ha asignado el identificador CVE-2021-3449 para esta vulnerabilidad.

Encuesta valoración