El servicio Extended Lifecycle Support proporciona OpenSSL actualizado para solucionar CVE-2021-23841
Se ha revelado un fallo en la forma en que la función X509_issuer_and_serial_hash() de la API de OpenSSL puede hacer que las aplicaciones que la utilizan se bloqueen, causando una potencial denegación de servicio (DoS) a sus usuarios.
El fallo reside en la forma en que se calcula un hash a partir de los datos Issuer y Serial Number de un certificado X509, lo que puede hacer que OpenSSL falle devolviendo un valor NULL. A su vez, esto puede bloquear la aplicación que llama a la función.
El exploit proviene de un certificado X509 creado maliciosamente que contiene campos Emisor y Número de serie especialmente diseñados que desencadenan este comportamiento.
Tenga en cuenta que OpenSSL por sí mismo nunca llama a esta función, sólo las aplicaciones de terceros que lo utilizan están en riesgo.
Puede consultar la presentación del CVE aquí:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23841
Afecta a varias aplicaciones como Tenable.sc 5.13.0 a 5.17.0, NetApp 5 y otras.
Las versiones afectadas son OpenSSL 1.1.1i e inferiores. Si está utilizando cualquier versión del rango 1.1.1 a 1.1.1i, debe actualizar a 1.1.1j.
OpenSSL 1.0.2 ya no está soportado por el equipo de OpenSSL, pero nuestro equipo de Soporte de Ciclo de Vida Extendido ha preparado la versión actualizada de OpenSSL 1.0.2 para su despliegue para nuestros usuarios, por lo que si confías en ella para tu aplicación, estará a salvo.
El servicio Extended Lifecycle Support ayuda a aliviar la urgencia de actualizar los servidores o dejarlos vulnerables a futuros exploits. El servicio permite ejecutar el sistema operativo retirado en cualquier servidor durante 4 años más después de la fecha EOL. Al utilizar un sistema de soporte ampliado al final de la vida útil, los administradores pueden proteger los servidores críticos de posibles vulnerabilidades al tiempo que crean un plan de migración para futuras actualizaciones.
CloudLinux ofrece actualizaciones continuas y soporte para distribuciones de Linux que han llegado al final de su vida útil, como CentOS 6, Oracle Linux 6 y Ubuntu 16.04 LTS. No hay necesidad de realizar ningún cambio en sus servidores - un simple comando para añadir un nuevo archivo de repositorio es todo lo que se necesita. Una vez añadido el repositorio, CloudLinux sigue proporcionando actualizaciones y parches de seguridad hasta junio de 2024. Más información sobre el servicio Extended Lifecycle Support en https://elsportal.com/