<div dir="ltr"><br><div class="gmail_quote"><br></div><div class="gmail_quote"><br></div><div class="gmail_quote">
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA256<br>
<br>
CAIS-Alerta [13/02/2023]: Vulnerabilidade de Type Confusion no OpenSSL<br>
<br>
Prezados(as),<br>
<br>
O CAIS alerta para uma recente vulnerabilidade classificada como alta pela OpenSSL que permite ao agente malicioso ler conteúdo arbitrário na memória e/ou executar ataque de negação de serviço.<br>
<br>
Até a última revisão deste alerta, não foram identificados códigos capazes de explorar esta vulnerabilidade.<br>
<br>
Descrição<br>
Foi identificada uma vulnerabilidade de Type Confusion na biblioteca OpenSSL.A falha está relacionada ao processamento de um endereço X.400 na extenção X.509 GeneralNames.Quando a flag X509_V_FLAG_CRL_CHECK está habilitada é permitido que o atacante passe apontadores arbitrários para a call memcmp.<br>
A exploração dessa vulnerabilidade depende da ativação da flag acima e muitas vezes também do agente malicioso fornecer tanto a cadeia de certificados quanto o CRL (Lista de Revogação de certificados), no entanto nenhum dos certificados necessita possuir uma assinatura válida. Caso o atacante controle apenas uma dessas entradas, a outra a entrada já deve conter um endereço X.400 como um ponto de distribuição CRL, porém essa condição de configuração é incomum.<br>
<br>
<br>
Sistemas impactados<br>
OpenSSL<br>
<br>
Versões afetadas<br>
OpenSSL nas versões 3.0, 1.1.1 e 1.0.2<br>
<br>
Correções disponíveis<br>
OpenSSL 3.0 deve ser atualizado para OpenSSL 3.0.8<br>
OpenSSL 1.1.1 deve ser atualizado para 1.1.1t<br>
OpenSSL 1.0.2 deve ser atualizado para 1.0.2zg<br>
<br>
Identificadores CVE (<a href="http://cve.mitre.org" rel="noreferrer" target="_blank">http://cve.mitre.org</a>)<br>
CVE-2023-0286<br>
<br>
<br>
Mais informações<br>
<a href="https://www.openssl.org/news/secadv/20230207.txt" rel="noreferrer" target="_blank">https://www.openssl.org/news/secadv/20230207.txt</a><br>
<a href="https://nvd.nist.gov/vuln/detail/CVE-2023-0286" rel="noreferrer" target="_blank">https://nvd.nist.gov/vuln/detail/CVE-2023-0286</a><br>
<a href="https://access.redhat.com/security/cve/cve-2023-0286" rel="noreferrer" target="_blank">https://access.redhat.com/security/cve/cve-2023-0286</a><br>
<br>
<br>
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.<br>
<br>
Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!!<br>
Twitter: @RedeRNP<br>
Facebook: <a href="http://facebook.com/RedeNacionaldeEnsinoePesquisaRNP" rel="noreferrer" target="_blank">facebook.com/RedeNacionaldeEnsinoePesquisaRNP</a>.<br>
<br>
################################################################<br>
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #<br>
#       Rede Nacional de Ensino e Pesquisa (RNP)               #<br>
#                                                              #<br>
# <a href="mailto:cais@cais.rnp.br" target="_blank">cais@cais.rnp.br</a>       <a href="https://cais.rnp.br/" rel="noreferrer" target="_blank">https://cais.rnp.br/</a>                  #<br>
# Tel. 019-37873300      Fax. 019-37873301                     #<br>
# Chave PGP disponível   <a href="https://www.rnp.br/cais/cais-pgp.key" rel="noreferrer" target="_blank">https://www.rnp.br/cais/cais-pgp.key</a>  #<br>
################################################################<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: OpenPGP.js v2.6.2<br>
Comment: <a href="https://openpgpjs.org" rel="noreferrer" target="_blank">https://openpgpjs.org</a><br>
<br>
wsFcBAEBCAAQBQJj6oSuCRDU96v9U5pXgAAAUnAP+gMpZPS9EJADA1VkmqSz<br>
4FLry7M8wvr6CXtamb+6cgCDgAgOuTD0Uc80LY8eZrB9CJrp2ztR0P4zU1Zl<br>
Z/z2rd74sjK3LVDcG/O8lu7mJ48dqqtsfM+Bzc3Tg/E/KHDTlgWLqRrS+B/e<br>
C33oSRvrFBPYj8HqXJv1TTjDVpWc8nKuxEssYZhGfO7S/52/eaZ+NY6FlMJT<br>
UMWOroV01FhKIDt+oMNPLu8/c1EK/7XtZlH8GXCKx9En3r3BU77l5i9CEV4Q<br>
p4Vz9TM/AmDGGnOKJuvjQfsd8kRXWT32u+zJSx3ooq5frLY0iIkx+/6bm/rF<br>
nLD0JvpuPK679jG2/V+MhKz+lsXecsLHCTdnAtgDnarajq4XrfZKK6hAnVDc<br>
Rdd/jRyv/l7C5sQ4X2sz7fEjgjcL65YLqtsd2cjNO04oFJLxjJVOueGUhwnT<br>
c7tltTLj0L6dmD1MHOW4gf7rslgcZ18iO+lP7V4EfxAOAhpFs4HkABbbaPWZ<br>
YwBAEobB73fDVYCKQJeCeR9jL1KLModldZ4NNDvhuPH3HrWlHQ6DfF6eeDSe<br>
U3GyPHZrZ8Y0pQ4bkuoX30lgxWdeobh6+7rTMlPpe7zxqXJZdKSllaiVhILw<br>
fYHgIdruGw2qWeEMudYPOSEC0JmzaO9tfIqx7NY2wrim1vnmicB7VCTl5zui<br>
vXvM<br>
=SHuR<br>
-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
RNP-Alerta<br>
<a href="mailto:rnp-alerta@listas.rnp.br" target="_blank">rnp-alerta@listas.rnp.br</a><br>
<a href="https://listas.rnp.br/mailman/listinfo/rnp-alerta" rel="noreferrer" target="_blank">https://listas.rnp.br/mailman/listinfo/rnp-alerta</a></div><div class="gmail_quote"><br></div><div class="gmail_quote"><br></div><div class="gmail_quote"><div><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>===</div><div>Computer Security Incident Response Team - CSIRT</div><div>Universidade Estadual de Campinas - Unicamp</div><div>Centro de Computacao - CCUEC</div><div>GnuPG Public Key: <a href="http://www.security.unicamp.br/security.asc" target="_blank">http://www.security.unicamp.br/security.asc</a> [^]</div><div>Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830</div></div></div></div>
</div></div>