- Las vulnerabilidades anunciadas esta vez están relacionadas con un desbordamiento de búfer en direcciones de correo electrónico X.509
- Puede ocurrir cuando un certificado incluye una dirección de correo electrónico codificada en punycode especialmente manipulada y diseñada para activar un desbordamiento de búfer
- Cuando se anunció por primera vez, se clasificó como Critical, pero el 1 de noviembre se redujo a High
- Se ajustó el nivel de riesgo al confirmarse que está más cerca de una vulnerabilidad de DoS (denegación de servicio) que de RCE (Remote Command Execution, ejecución remota)
3 comentarios
Los servicios de AWS no se ven afectados y no se requiere ninguna acción por parte de los clientes.
https://aws.amazon.com/security/security-bulletins/AWS-2022-008/
¡Gracias por el resumen!
En la cuarta línea, la sigla para ejecución remota es RCE, pero parece que hay un error tipográfico y quedó como REC.
OpenSSL, versión 3.07 con parche para CVE-2022-3786 / CVE-2022-3602