Openssl · Openssl · CVE-2024-9143
Nome do software vulnerável e versões afetadas:
Versões do OpenSSL anteriores à 3.3.3
Descrição:
O problema decorre do uso de APIs de curva elíptica GF(2^m) de baixo nível com valores explícitos não confiáveis para o polinômio de campo, levando a leituras ou gravações de memória fora dos limites. Isso pode causar uma falha no aplicativo ou, potencialmente, permitir a execução remota de código. No entanto, a probabilidade de um aplicativo vulnerável é baixa, já que a maioria dos protocolos envolvendo criptografia de curva elíptica suporta apenas “curvas nomeadas” ou especifica uma codificação X9.62 de curvas binárias (GF(2^m)) que não podem representar valores de entrada problemáticos. As APIs afetadas incluem `EC GROUP new curve GF2m()`, `EC GROUP new from params()` e várias funções de suporte `BN GF2m *()`.
Recomendações:
Para versões anteriores à 3.3.3, atualize para a versão 3.3.3 ou posterior para resolver o problema.
Como solução temporária, considere restringir o uso das funções vulneráveis `EC GROUP new curve GF2m()` e `EC GROUP new from params()`, bem como das funções de suporte `BN GF2m *()`, até que um patch esteja disponível.
Evite usar parâmetros de curva binária explícita “exótica” (GF(2^m)) que possam representar polinômios de campo inválidos com um termo constante zero.