Las versiones de OpenSSL desde la 3.x hasta la 3.0.6 (anteriores a la 3.0.7) se encuentran vulnerables a una vulnerabilidad de seguridad de alta gravedad que puede provocar un bloqueo o un comportamiento inesperado.
OpenSSL ha publicado un aviso ubicado en https://www.openssl.org/news/secadv/20221101.txt.
Los productos de firmware y software de Supermicro no están afectados ni por CVE-2022-3786 ni por CVE-2022-3602, ya que los productos de Supermicro utilizan las versiones 1.0.x - 1.1.1 de OpenSSL.
Más información:
CVE-2022-3786Un atacante puede crear una dirección de correo electrónico maliciosa para desbordar un número arbitrario de bytes que contengan el carácter `.` (decimal 46) en la pila. Este desbordamiento del búfer podría provocar un fallo (causando una denegación de servicio).
CVE-2022-3602Puede producirse un desbordamiento del búfer en la verificación de certificados X.509, concretamente en la comprobación de restricciones de nombres. Un atacante puede crear una dirección de correo electrónico maliciosa para desbordar cuatro bytes controlados por el atacante en la pila. Este desbordamiento del búfer podría provocar un fallo (causando una denegación de servicio) o potencialmente la ejecución remota de código.