Golang Go "FIPS OpenSSL": la vulnerabilidad permite un ataque no especificado

hace 2 meses · Actualizado hace 2 meses

El aviso de seguridad publicado para Golang Go "FIPS OpenSSL" recibió una actualización de BSI. Puede leer una descripción de la vulnerabilidad de seguridad aquí junto con las últimas actualizaciones e información sobre los sistemas operativos y productos afectados.

Oficina Federal de Seguridad en Tecnología de la Información (BSI) el 6 de enero de 2025 lanzó una actualización para una vulnerabilidad de seguridad "FIPS OpenSSL" de Golang Go conocida el 3 de octubre de 2024. La vulnerabilidad de seguridad afecta a los sistemas operativos Linux y UNIX, así como a los productos Red Hat Enterprise Linux, Oracle Linux, RESF Rocky Linux, Golang Go e IBM Spectrum Protect Plus.

Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para esta vulnerabilidad se pueden encontrar aquí: Boletín de seguridad de IBM 7180361 (A partir del 7 de enero de 2025). Otros recursos útiles se enumeran más adelante en este artículo.

Más información

Advertencia de seguridad para Golang Go "FIPS OpenSSL" - Riesgo: medio
Error "FIPS OpenSSL" de Golang Go: la vulnerabilidad permite un ataque anónimo
Sistemas afectados por vulnerabilidades de seguridad de un vistazo
Recomendaciones generales para abordar las vulnerabilidades de TI
Fuentes de actualizaciones, parches y correcciones
La fecha de revisión de este aviso de seguridad.

Advertencia de seguridad para Golang Go "FIPS OpenSSL" - Riesgo: medio

Nivel de riesgo: 3 (medio)
Cláusula básica CVSS: 6.5
Puntuación provisional CVSS: 5,7
Ataque a distancia: No

El Sistema Común de Puntuación de Vulnerabilidad (CVSS) se utiliza para evaluar la vulnerabilidad de los sistemas informáticos. El estándar CVSS permite recopilar vulnerabilidades de seguridad reales o potenciales en función de varias métricas para crear una lista de prioridades para tomar medidas. Los atributos "ninguno", "bajo", "moderado", "alto" y "crítico" se utilizan para definir los niveles de gravedad de la vulnerabilidad. Baseline mide los requisitos de un ataque (incluida la precisión, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. La dimensión temporal también tiene en cuenta los cambios en la situación de riesgo a lo largo del tiempo. Según CVSS, la gravedad de la vulnerabilidad actual se califica como "moderada" con una puntuación inicial de 6,5.

Error "FIPS OpenSSL" de Golang Go: la vulnerabilidad permite un ataque anónimo

Go es un lenguaje de programación de código abierto.

Un atacante local podría aprovechar una vulnerabilidad en el componente "FIPS OpenSSL" de Golang Go para realizar un ataque no especificado.

La vulnerabilidad se clasificó mediante el sistema de referencia CVE (Common Vulnerabilities and Vulnerabilities) con el número de secuencia individual CVE-2024-9355.

Sistemas afectados por vulnerabilidades de seguridad de un vistazo

sistemas operativos
Linux, UNIX

Productos
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Oracle Linux (cpe:/o:oracle:linux)
Oracle Linux (cpe:/o:oracle:linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
RESF Rocky Linux (cpe:/o:resf:rocky_linux)
Golang Go FIPS OpenSSL (cpe:/a:golang:go)
IBM Spectrum Protect Plus <10.1.6.4 (cpe:/a:ibm:spectrum_protect_plus)
IBM Spectrum Protect Plus 10.1.6.4 (cpe:/a:ibm:spectrum_protect_plus)

Recomendaciones generales para abordar las vulnerabilidades de TI

Los usuarios de los sistemas afectados deben actualizarlos. Cuando se conocen agujeros de seguridad, los fabricantes deben solucionarlos lo más rápido posible mediante el desarrollo de un parche o solución. Si hay nuevas actualizaciones de seguridad, instálelas inmediatamente.
Para obtener información, consulte los recursos enumerados en la siguiente sección. Estos suelen incluir más información sobre la última versión del software en cuestión, así como la disponibilidad de parches de seguridad o consejos para la solución de problemas.
Si tiene más preguntas o inquietudes, comuníquese con su administrador responsable. Los responsables de seguridad de TI deben comprobar periódicamente cuándo la empresa fabricante proporciona una nueva actualización de seguridad.

Fuentes de actualizaciones, parches y correcciones

Aquí encontrará enlaces adicionales con información sobre informes de errores, correcciones de seguridad y soluciones.

Boletín de seguridad de IBM 7180361 del 7 de enero de 2025 (01/06/2025)
Puede encontrar más información aquí:

Aviso de seguridad de Red Hat RHSA-2024: 9551 2024-11-13 (13.11.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Rocky Linux RLSA-2024:8678 2024-11-08 (10/11/2024)
Puede encontrar más información aquí:

Aviso de seguridad de Rocky Linux RLSA-2024:8847 2024-11-08 (10/11/2024)
Puede encontrar más información aquí:

Aviso de seguridad de Oracle Linux ELSA-2024-8847 2024-11-06 (05.11.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Red Hat RHSA-2024: 8847 2024-11-05 (04.11.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Oracle Linux ELSA-2024-8678 2024-10-31 (31 de octubre de 2024)
Puede encontrar más información aquí:

Aviso de seguridad de Red Hat RHSA-2024: 8678 2024-10-30 (30 de octubre de 2024)
Puede encontrar más información aquí:

Aviso de seguridad de Rocky Linux RLSA-2024:7550 2024-10-25 (27 de octubre de 2024)
Puede encontrar más información aquí:

Aviso de seguridad de Rocky Linux RLSA-2024:7502 2024-10-25 (27 de octubre de 2024)
Puede encontrar más información aquí:

Aviso de seguridad de Red Hat RHSA-2024: 8327 2024-10-22 (22 de octubre de 2024)
Puede encontrar más información aquí:

Aviso de seguridad de Oracle Linux ELSA-2024-8327 2024-10-23 (22 de octubre de 2024)
Puede encontrar más información aquí:

Aviso de seguridad de Oracle Linux ELSA-2024-7550 de fecha 2024-10-14 (14.10.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Red Hat RHSA-2024: 7550 2024-10-03 (03.10.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Red Hat RHSA-2024: 7502 2024-10-03 (03.10.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Oracle Enterprise Linux ELSA-2024-7502 2024-10-03 (03.10.2024)
Puede encontrar más información aquí:

La fecha de revisión de este aviso de seguridad.

Esta es la undécima versión de este boletín de seguridad de TI para Golang Go "FIPS OpenSSL". Esta publicación se actualizará cuando se anuncien más actualizaciones. Puede ver los cambios realizados utilizando el historial de versiones a continuación.

3 de octubre de 2024 - Versión inicial
14 de octubre de 2024: se agregaron nuevas actualizaciones de Oracle Linux
22 de octubre de 2024: se agregaron nuevas actualizaciones de Oracle Linux y Red Hat
27/10/2024: se agregaron nuevas actualizaciones de Rocky Enterprise Software Foundation
30/10/2024: se agregaron nuevas actualizaciones de Red Hat
31 de octubre de 2024: se agregaron nuevas actualizaciones de Oracle Linux
04/11/2024: se agregaron nuevas actualizaciones de Red Hat
5 de noviembre de 2024: se agregaron nuevas actualizaciones de Oracle Linux
10/11/2024: se agregaron nuevas actualizaciones de Rocky Enterprise Software Foundation
13/11/2024: se agregaron nuevas actualizaciones de Red Hat
06/01/2025 - Se agregaron nuevas actualizaciones de IBM

Más noticias

Procesador Intel (Xeon): ¡Vulnerabilidad de seguridad informática con un gran riesgo! La alerta está recibiendo actualizaciones.

ffmpeg está en riesgo: ¡nuevo agujero de seguridad! La vulnerabilidad permite la divulgación de información.

Seguridad informática: Linux, MacOS

VMware Cloud Foundation: aviso de seguridad informática para una nueva vulnerabilidad

Seguridad de TI: detalles sobre esta nueva seguridad de seguridad en las neuronas ivani para MDM

Adobe ColdFusion: ¡Nueva vulnerabilidad de seguridad! La vulnerabilidad permite eludir las medidas de seguridad.

Seguridad TI: Linux, MacOS X y UNIX amenazados - ¡Diferente seguridad TI en PostgreSQL con un gran riesgo! La alerta está recibiendo actualizaciones.

Red Hat OpenShift: Vulnerabilidad permite divulgación de información

Seguridad de TI: Linux, MacOS X y Windows amenazados: detalles sobre la nueva brecha de seguridad de TI en Acronis Cyber

Proyecto FRRouting FRRouting: Alerta de seguridad informática por nueva vulnerabilidad

Plataforma de automatización Red Hat Ansible en riesgo: actualización de alerta de seguridad de TI (riesgo: alto)

Apache Camel: ¡Nuevo brecha de seguridad! El valor del valor manipular

Ataque cibernético descarado: Cuentas de cuentas de Bonus Points REWE

Seguridad de TI: UNIX está en riesgo: actualización de la información de seguridad de TI en Xen (riesgo: medio)

Seguridad TI: Linux es una amenaza - Actualización de la información de seguridad TI para el kernel de Linux (Riesgo: medio)

Noticias de Nintendo Switch: Nintendo Switch 2 se lanzará en 2025: el video muestra los primeros detalles