Sistemas Afectados
Aplicaciones y servicios web desarrollados en Go (Golang) que utilicen el paquete estándar crypto/tls en conexiones TLS 1.3. Afecta a binarios construidos con versiones de Go anteriores a la 1.26.2 y 1.25.9.
Descripción
Si un cliente o servidor malicioso envía múltiples mensajes de actualización de claves (key update handshake messages) posteriores al saludo inicial dentro de un único registro TLS 1.3, la conexión puede entrar en un punto muerto (deadlock). Esto provoca un consumo descontrolado de recursos del sistema en el servidor Go afectado, derivando rápidamente en una Denegación de Servicio (DoS).
Recomendaciones
Compilar de inmediato todas las aplicaciones y microservicios basados en Go utilizando las versiones de parches de seguridad Go 1.26.2 o Go 1.25.9 (o superiores). Si no se puede actualizar el entorno de ejecución inmediatamente, se sugiere limitar temporalmente el uso estricto de TLS 1.3 en servicios expuestos a clientes no confiables, aunque la actualización del compilador es la única solución definitiva.
Referencias
Información de la Alerta
VENCERT-2026-029
🟠 Alta
Resuelta
CVE-2026-32283
June 9, 2026