Chris Rapier

**Nome do software vulnerável e versões afetadas** Versões 3.0.0 a 3.0.5 do OpenSSL **Descrição** O problema decorre do tratamento incorreto de cifras personalizadas legadas nas versões 3.0.0 a 3.0.5 do OpenSSL. Quando um aplicativo utiliza a função obsoleta `EVP CIPHER meth new()` com `NID undef`, a função de inicialização de criptografia/descriptografia do OpenSSL pode considerar a cifra NULL como equivalente e buscá-la dos provedores disponíveis. Isso resulta na emissão do texto simples como texto cifrado. Os aplicativos só são afetados se chamarem `EVP CIPHER meth new()` usando `NID undef` e, posteriormente, a utilizarem em uma chamada a uma função de inicialização de criptografia/descriptografia, como `EVP EncryptInit ex2()`, `EVP DecryptInit ex2()` ou `EVP CipherInit ex2()`. Aplicativos que utilizam apenas SSL/TLS não são afetados. **Recomendações** Para as versões 3.0.0 a 3.0.5 do OpenSSL, atualize para a versão 3.0.6 para resolver o problema. Como solução alternativa temporária, considere evitar o uso de `EVP CIPHER meth new()` com `NID undef` e, em vez disso, use o novo mecanismo de provedor para implementar cifras personalizadas. Restrinja o acesso às funções de inicialização de criptografia/descriptografia vulneráveis para minimizar o risco de exploração.