Chanho Kim

Nome do Software Vulnerável e Versões Afetadas OpenSSL versões 3.0 até 3.6 Descrição O processamento de uma mensagem CMS EnvelopedData especialmente criada com KeyTransportRecipientInfo pode levar a uma desreferenciação de ponteiro nulo. Isso pode fazer com que aplicativos que processam dados CMS controlados por um invasor falhem antes da autenticação ou operações criptográficas, resultando em uma Negação de Serviço. O problema ocorre ao examinar o campo de parâmetros opcionais do identificador de algoritmo RSA-OAEP SourceFunc sem verificar sua presença, levando a uma desreferenciação de ponteiro nulo se o campo estiver ausente. Aplicativos e serviços que usam CMS decrypt() em entradas não confiáveis, como processamento S/MIME ou protocolos baseados em CMS, são afetados. Recomendações Atualize para uma versão posterior a 3.6. Atualize para uma versão posterior a 3.5. Atualize para uma versão posterior a 3.4. Atualize para uma versão posterior a 3.3. Atualize para uma versão posterior a 3.0.