Achim Kraus

**Nome do software vulnerável e versões afetadas: Eclipse Californium, versões 2.0.0 a 2.6.4 Eclipse Californium, versões 3.0.0-M1 a 3.0.0-M3 Descrição: Os handshakes DTLS baseados em certificado no Eclipse Californium podem ser acidentalmente bem-sucedidos sem verificar a assinatura do lado do servidor no lado do cliente, caso essa assinatura não esteja incluída no ServerKeyExchange do servidor. Este problema afeta os handshakes DTLS x509 e RPK. Recomendações: Para as versões 2.0.0 a 2.6.4, atualize para uma versão fora desse intervalo para garantir que o handshake DTLS verifique corretamente a assinatura do servidor. Para as versões 3.0.0-M1 a 3.0.0-M3, atualize para uma versão fora desse intervalo para garantir que o handshake DTLS verifique corretamente a assinatura do servidor. Como solução alternativa temporária, considere restringir o uso de handshakes DTLS baseados em certificado até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: Eclipse Californium, versões 2.3.0 a 2.6.0 Descrição: Os handshakes DTLS baseados em certificado no Eclipse Californium falham acidentalmente devido ao servidor permanecer em um estado interno incorreto. Esse estado interno incorreto é definido por uma falha anterior no handshake DTLS baseado em certificado com incompatibilidade de parâmetros TLS, permitindo que os clientes forcem uma Negação de Serviço (DoS). O servidor deve ser reiniciado para se recuperar desse estado. Recomendações: Para as versões 2.3.0 a 2.6.0 do Eclipse Californium, reinicie o servidor DTLS para recuperar do estado interno incorreto e evitar ataques de Negação de Serviço (DoS). Como solução temporária, considere implementar medidas para evitar falhas repetidas no handshake DTLS baseado em certificado com incompatibilidade de parâmetros TLS.