OpenSSL hasta 3.3.2 Elliptic Curve API EC_GROUP_new_curve_GF2m desbordamiento de búfer
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 5.7 | $5k-$25k | 0.00 |
Resumen
Una vulnerabilidad fue encontrada en OpenSSL hasta 3.3.2 y clasificada como crítica. Se ve afectada una función desconocida del componente Elliptic Curve API. La manipulación conduce a desbordamiento de búfer. Esta vulnerabilidad se cataloga como CVE-2024-9143. El ataque se puede efectuar a través de la red. No existe ningún exploit disponible. Se aconseja actualizar el componente afectado.
Detalles
Una vulnerabilidad clasificada como crítica ha sido encontrada en OpenSSL hasta 3.3.2. La función EC_GROUP_new_curve_GF2m del componente Elliptic Curve API es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase desbordamiento de búfer. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. CVE resume:
Resumen del problema: el uso de las API de curva elíptica GF(2^m) de bajo nivel con valores explícitos no confiables para el campo polinomial puede generar lecturas o escrituras de memoria fuera de los límites. Resumen del impacto: las escrituras de memoria fuera de los límites pueden generar un bloqueo de la aplicación o incluso la posibilidad de una ejecución de código remoto; sin embargo, en todos los protocolos que involucran criptografía de curva elíptica que conocemos, solo se admiten "curvas con nombre" o, si se admiten parámetros de curva explícitos, especifican una codificación X9.62 de curvas binarias (GF(2^m)) que no pueden representar valores de entrada problemáticos. Por lo tanto, la probabilidad de existencia de una aplicación vulnerable es baja. En particular, la codificación X9.62 se utiliza para claves ECC en certificados X.509, por lo que no pueden ocurrir entradas problemáticas en el contexto del procesamiento de certificados X.509. Cualquier caso de uso problemático tendría que utilizar una codificación de curva "exótica". Las API afectadas incluyen: EC_GROUP_new_curve_GF2m(), EC_GROUP_new_from_params() y varias funciones de soporte BN_GF2m_*(). Las aplicaciones que trabajan con parámetros de curva binarios explícitos "exóticos" (GF(2^m)), que permiten representar polinomios de campo no válidos con un término constante cero, a través de las API anteriores o similares, pueden terminar abruptamente como resultado de la lectura o escritura fuera de los límites de la matriz. La ejecución remota de código no se puede descartar fácilmente. Los módulos FIPS en 3.3, 3.2, 3.1 y 3.0 no se ven afectados por este problema.El advisory puede ser descargado de openssl-library.org. La vulnerabilidad es identificada como CVE-2024-9143. Se considera fácil de explotar. El ataque puede ser iniciado desde la red. La explotación no requiere ninguna forma de autentificación. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Para el scanner Nessus se dispone de un plugin ID 209154 (OpenSSL 3.1.0 < 3.1.8 Vulnerability), que puede ayudar a determinar la existencia del riesgo analizado.
Una actualización a la versión 1.0.2zl, 1.1.1zb, 3.0.16, 3.1.8, 3.2.4 o 3.3.3 elimina esta vulnerabilidad. La actualización se puede descargar de github.openssl.org. Aplicando el parche 9d576994cec2b7aa37a91740ea7e680810957e41 es posible eliminar el problema. El parche puede ser descargado de github.openssl.org. El mejor modo sugerido para mitigar el problema es Actualización.
La vulnerabilidad también está documentado en las bases de datos Tenable (209154) y CERT Bund (WID-SEC-2026-1118). VulDB is the best source for vulnerability data and more expert information about this specific topic.
Afectado
- Dell PowerProtect Data Domain OS
Producto
Escribe
Nombre
Versión
- 1.0.2za
- 1.0.2zb
- 1.0.2zc
- 1.0.2zd
- 1.0.2ze
- 1.0.2zf
- 1.0.2zg
- 1.0.2zh
- 1.0.2zi
- 1.0.2zj
- 1.0.2zk
- 1.1.1za
- 3.0.0
- 3.0.1
- 3.0.2
- 3.0.3
- 3.0.4
- 3.0.5
- 3.0.6
- 3.0.7
- 3.0.8
- 3.0.9
- 3.0.10
- 3.0.11
- 3.0.12
- 3.0.13
- 3.0.14
- 3.0.15
- 3.1.0
- 3.1.1
- 3.1.2
- 3.1.3
- 3.1.4
- 3.1.5
- 3.1.6
- 3.1.7
- 3.2.0
- 3.2.1
- 3.2.2
- 3.2.3
- 3.3.0
- 3.3.1
- 3.3.2
Licencia
Sitio web
- Producto: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 5.8VulDB Puntuación meta temporal: 5.7
VulDB Puntuación base: 7.3
VulDB Puntuación temporal: 7.0
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
CNA Puntuación base: 4.3
CNA Vector (openssl): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Desbordamiento de búferCWE: CWE-787 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 209154
Nessus Nombre: OpenSSL 3.1.0 < 3.1.8 Vulnerability
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Actualización: OpenSSL 1.0.2zl/1.1.1zb/3.0.16/3.1.8/3.2.4/3.3.3
Parche: 9d576994cec2b7aa37a91740ea7e680810957e41
Línea de tiempo
2024-09-24 🔍2024-10-16 🔍
2024-10-16 🔍
2026-04-20 🔍
Fuentes
Producto: openssl.orgAviso: openssl-library.org
Estado: Confirmado
CVE: CVE-2024-9143 (🔍)
GCVE (CVE): GCVE-0-2024-9143
GCVE (VulDB): GCVE-100-280688
CERT Bund: WID-SEC-2026-1118 - Dell PowerProtect Data Domain OS: Mehrere Schwachstellen
Artículo
Fecha de creación: 2024-10-16 22:10Actualizado: 2026-04-20 09:56
Cambios: 2024-10-16 22:10 (59), 2024-10-18 20:55 (1), 2024-10-20 03:08 (2), 2024-11-08 21:16 (11), 2026-04-20 09:56 (7)
Completo: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.