Coia Prant

**Nome do Software Vulnerável e Versões Afetadas** Versões do Go anteriores à 1.26 Release Candidate 3 **Descrição** O problema está localizado no pacote crypto/tls, especificamente durante a retomada de sessão TLS. Se o objeto `Config` subjacente tiver seus campos `ClientCAs` ou `RootCAs` modificados entre o handshake inicial e um handshake de retomada, o handshake de retomada pode ser bem-sucedido incorretamente. Isso pode ocorrer ao usar `Config.Clone` seguido por modificações na configuração clonada, ou ao utilizar `Config.GetConfigForClient`. Isso poderia permitir que um cliente retomasse uma sessão com um servidor que não deveria, ou vice-versa. O problema também está relacionado à cópia de chaves de ticket de sessão geradas automaticamente durante `Config.Clone` e à falha da retomada de sessão em levar em conta a expiração da cadeia de certificados completa. **Recomendações** Atualize para a versão do Go 1.26 Release Candidate 3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** versões anteriores ao TLS 1.3 **Descrição** Existe uma vulnerabilidade no processo de handshake do TLS 1.3 em que mensagens que abrangem limites de nível de criptografia podem ser processadas prematuramente. Isso pode levar à divulgação de informações menores se um atacante local na rede injetar mensagens durante o handshake. Especificamente, se múltiplas mensagens forem enviadas em registros que cruzam limites de nível de criptografia, como as mensagens Client Hello e Encrypted Extensions, mensagens subsequentes podem ser processadas antes que o nível de criptografia seja totalmente estabelecido. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.