OpenSSL ha parcheado una nueva vulnerabilidad en su biblioteca de comunicaciones seguras. El fallo fue reportado por investigadores de Apple, siendo rastreado como CVE-2024-12797 y sin puntuación CVSS asignada por el momento. OpenSSL contiene una implementación de código abierto de los protocolos SSL y TLS. Por ello, las conexiones TLS/DTLS de clientes que utilizan claves públicas sin procesar (RPK) RFC7250 pueden ser vulnerables a ataques man-in-the-middle (MitM) debido a problemas en las comprobaciones de autenticación del servidor en el modo SSL_VERIFY_PEER.
La vulnerabilidad afecta a los clientes TLS que activan las RPK y confían en SSL_VERIFY_PEER para detectar fallos de autenticación, habilitando el envío de RPK en vez de una cadena de certificados X.509. No obstante, OpenSSL señaló que las RPK están desactivadas por defecto en los clientes y los servidores TLS. Las versiones afectadas son OpenSSL 3.4, 3.3 y 3.2, mitigándose la vulnerabilidad en las versiones 3.4.1, 3.3.2 y 3.2.4.