Se han publicado tres vulnerabilidades (una de criticidad alta) en el software mbed TLS de ARM que podrían permitir a un atacante remoto la ejecución de código remoto o provocar la denegación del servicio, catalogadas de Importancia: 4 – Alta

Recursos afectados:

  1. mbed TLS1.4 y superiores
  2. mbed TLS 2.4.0 y mbed 2.4.1
  3. versiones de mbed TLS anteriores a 1.3.19
  4. versiones de mbed TLS anteriores a 2.1.7
  5. versiones de mbed TLS anteriores a 2.4.2

Detalle e impacto de las vulnerabilidades

  • La vulnerabilidad, de criticidad alta, puede ser provocada por un certificado con una llave pública secp224k1 especialmente manipulada que haga que el servidor o el cliente intenten librerar un bloque de memoria de la pila. Según la plataforma sobre la que se ejecute la vulnerabilidad se puede provocar DoS o ejecución de código remoto.

Recomendación

Actualizar a las siguientes versiones que solucionan estas vulnerabilidades:

  • mbed TLS 1.3.19
  • mbed TLS 2.1.7
  • mbed TLS 2.4.2.

Más información

Fuente: INCIBE

Anuncios