Vulnerabilidades de Alta Severidad en OpenSSL
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática de la Universidad Católica "Nuestra Señora de la Asunción" (CSIRT-UC) informa sobre el descubrimiento de múltiples vulnerabilidades de seguridad que afectan a numerosas ramas y versiones de la biblioteca criptográfica OpenSSL.
La vulnerabilidad principal, CVE-2025-9230, de severidad alta, representa un riesgo serio, ya que podría ser explotada por un actor malicioso para causar una Denegación de Servicio (DoS) o, en el peor de los casos, la Ejecución de Código Arbitrario (RCE) en los sistemas afectados. Dada la ubicuidad de OpenSSL, se requiere una acción de parcheo inmediata en toda la infraestructura de red.
Vulnerabilidad Principal Identificada
La vulnerabilidad más grave implica un manejo incorrecto de los límites de memoria, lo que es crítico en una biblioteca que maneja información sensible y conexiones seguras.
| Atributo | Detalle |
| Identificador CVE | CVE-2025-9230 |
| Puntuación CVSS v3.1 | 7.5 (ALTA) |
| Tipo de Falla | Lectura/Escritura fuera de límites (Out-of-Bounds Read/Write) - (CWE-125, CWE-787). |
| Impacto Potencial | Ejecución de Código Arbitrario (RCE) y Denegación de Servicio (DoS). Puede comprometer la integridad y disponibilidad del sistema. |
| Otras Vulnerabilidades | Este aviso también cubre otras fallas menores identificadas como CVE-2025-9231 y CVE-2025-9232. |
Productos y Versiones Afectadas
El alcance de las versiones afectadas es amplio, abarcando tanto ramas antiguas como las más recientes de OpenSSL.
| Rama de OpenSSL | Versiones Afectadas (Necesitan Parche) |
| OpenSSL 3.5 | 3.5.0 hasta 3.5.3 |
| OpenSSL 3.4 | 3.4.0 hasta 3.4.2 |
| OpenSSL 3.3 | 3.3.0 hasta 3.3.4 |
| OpenSSL 3.2 | 3.2.0 hasta 3.2.5 |
| OpenSSL 3.0 | 3.0.0 hasta 3.0.17 |
| OpenSSL 1.1.1 | Todas las versiones anteriores a 1.1.1zd |
| OpenSSL 1.0.2 | Todas las versiones anteriores a 1.0.2zm |
Recomendación
El CSIRT-UC instruye a TODOS los administradores de sistemas y responsables de TI a auditar inmediatamente su infraestructura y aplicar los parches correspondientes:
- Actualización a la Última Versión Estable: Aplique las versiones parcheadas de cada rama. Por ejemplo, si utiliza la rama 3.0, actualice a la versión 3.0.18 (o la más reciente que incluya el parche).
- Verificación de Componentes: OpenSSL es utilizado por servidores web (Apache, Nginx), servidores de correo, VPNs, proxies, y múltiples aplicaciones. Es crucial identificar todas las dependencias y reiniciarlas tras la actualización de la librería subyacente.
- Priorización: Los sistemas expuestos a Internet que utilicen versiones vulnerables de OpenSSL deben ser parcheados de forma prioritaria para evitar ataques de Denegación de Servicio o compromisos de seguridad.
Referencias Oficiales
- Aviso de Seguridad de OpenSSL: https://openssl-library.org/news/secadv/20250930.txt
- NVD - Detalle del CVE-2025-9230: https://nvd.nist.gov/vuln/detail/CVE-2025-9230
- Otros CVEs relacionados: CVE-2025-9231, CVE-2025-9232
CSIRT-UC