Se ha detectado una vulnerabilidad de seguridad de alta gravedad en las versiones de OpenSSL desde la 3.x hasta la 3.0.6 (anteriores a la 3.0.7), que puede provocar fallos del sistema o un comportamiento inesperado.
OpenSSL ha publicado un aviso disponible en https://www.openssl.org/news/secadv/20221101.txt
Supermicro Los productos de firmware y software no se ven afectados por CVE-2022-3786 ni por CVE-2022-3602, ya que Supermicro Los productos utilizan versiones de OpenSSL de 1.0.x a 1.1.1.
Más información:
CVE-2022-3786Un atacante puede crear una dirección de correo electrónico maliciosa para provocar un desbordamiento de pila que contenga un número arbitrario de bytes que incluyan el carácter `.` (decimal 46). Este desbordamiento de búfer podría provocar un fallo del sistema (causando una denegación de servicio).
CVE-2022-3602Un desbordamiento de búfer puede ocurrir durante la verificación de certificados X.509, específicamente en la comprobación de restricciones de nombre. Un atacante puede crear una dirección de correo electrónico maliciosa para provocar un desbordamiento de cuatro bytes controlados por el atacante en la pila. Este desbordamiento de búfer podría resultar en un fallo del sistema (causando una denegación de servicio) o, potencialmente, en la ejecución remota de código.