Dmitry Belyavskiy

**Nome do Software Vulnerável e Versões Afetadas** OpenSSL (versões afetadas não especificadas) **Description** As funções `CMS decrypt()` e `PKCS7 decrypt()` são suscetíveis a um ataque do tipo Bleichenbacher, que é um canal lateral de texto cifrado escolhido adaptativamente. Isso permite que um invasor use uma aplicação vulnerável para descriptografar ou assinar mensagens usando a chave RSA privada da vítima. O problema ocorre em dois cenários: primeiro, quando a API de descriptografia é usada sem um certificado de destinatário, o OpenSSL itera por cada `KeyTransRecipientInfo` (KTRI) sem parar no primeiro sucesso; segundo, quando um certificado de destinatário é fornecido, mas o destinatário não é encontrado, uma chave aleatória é substituída. Em ambos os casos, se um invasor conseguir observar códigos de erro ou a saída da descriptografia, ele poderá estabelecer um oráculo para descriptografar textos cifrados RSA ou forjar assinaturas PKCS#1 v1.5. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenSSL versões 3.0 a 3.3 **Description** As implementações de AES-SIV e AES-GCM-SIV lidam incorretamente com a autenticação de Dados Autenticados Adicionais (AAD) quando o texto cifrado está vazio, permitindo a falsificação de tais mensagens. Na implementação do provedor desses cifradores, a tag esperada é computada apenas quando a função de descriptografia é invocada com dados não vazios. Se o chamador fornecer AAD e, em seguida, chamar a função `EVP DecryptFinal ex()` sem atualizar o texto cifrado (o que ocorre quando o comprimento do texto cifrado recebido é zero), a tag não é recalculada e mantém seu valor de zeros. Consequentemente, para o AES-GCM-SIV, um invasor pode passar pela autenticação usando AAD arbitrário, texto cifrado vazio e uma tag de zeros sem conhecer a chave. Para o AES-SIV, o ataque requer que a aplicação reutilize o contexto de descriptografia sem redefinir a chave. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.