Hubert Kario

**Nome do software vulnerável e versões afetadas** Versões do iPerf3 anteriores à 3.17 Versões do OpenSSL anteriores à 3.2.0 **Descrição** O problema está relacionado a um canal lateral de temporização nas operações de descriptografia RSA quando o iPerf3 é usado como servidor com autenticação RSA e OpenSSL. Isso poderia permitir que um invasor remoto recuperasse credenciais em texto simples enviando um grande número de mensagens para descriptografia, conforme descrito no artigo “Everlasting ROBOT: the Marvin Attack”, de Hubert Kario. **Recomendações** Para versões do iPerf3 anteriores à 3.17, atualize para a versão 3.17 ou posterior para resolver o problema. Para versões do OpenSSL anteriores à 3.2.0, atualize para a versão 3.2.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar a autenticação RSA no iPerf3 até que um patch esteja disponível. Restrinja o acesso ao servidor com autenticação RSA para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: perl-Crypt-OpenSSL-RSA (versões afetadas não especificadas) Descrição: Existe uma falha de canal lateral baseada em tempo no pacote perl-Crypt-OpenSSL-RSA, que poderia ser suficiente para recuperar texto simples através de uma rede em um ataque do tipo Bleichenbacher. Para obter sucesso na descriptografia, um invasor teria que ser capaz de enviar um grande número de mensagens de teste. A vulnerabilidade afeta o modo de preenchimento de criptografia RSA PKCS#1v1.5 legado. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do wolfSSL anteriores à 3.6.6 **Descrição** O problema está relacionado ao fato de a implementação do wolfSSL SP Math All RSA ser vulnerável ao ataque Marvin, uma nova variação de um ataque de tempo do tipo Bleichenbacher. Essa vulnerabilidade é específica para conjuntos de criptografia RSA estáticos, que não são recomendados e estão desativados por padrão desde o wolfSSL 3.6.6. A vulnerabilidade permite que um invasor descriptografe textos cifrados e falsifique assinaturas após realizar um grande número de observações de teste. No entanto, a chave privada do servidor não é exposta. **Recomendações** Para versões anteriores à 3.6.6, considere desativar os conjuntos de criptografia RSA estáticos removendo a definição `WOLFSSL STATIC RSA` ou atualizando para uma versão em que isso esteja desativado por padrão, como o wolfSSL 3.6.6 ou posterior. Como solução temporária, considere restringir o uso de conjuntos de criptografia RSA estáticos até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** cryptlib (versões afetadas não especificadas) **Descrição** Foi identificada uma falha de segurança na biblioteca criptográfica cryptlib quando ela é compilada com suporte para conjuntos de algoritmos de troca de chaves RSA no TLS. Isso a torna vulnerável à variante de temporização do ataque de Bleichenbacher. Um invasor capaz de estabelecer um grande número de conexões com o servidor pode descriptografar textos cifrados RSA ou falsificar assinaturas usando o certificado do servidor. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Oracle Java SE versões 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1 Oracle GraalVM para JDK versões 17.0.9, 21.0.1 Oracle GraalVM Enterprise Edition versões 20.3.12, 21.3.8, 22.3.4 **Descrição** Uma vulnerabilidade de difícil exploração nos produtos Oracle Java SE, Oracle GraalVM para JDK e Oracle GraalVM Enterprise Edition permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa esses sistemas. Ataques bem-sucedidos podem resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos ou de todos os dados acessíveis, bem como acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis. Esta vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox Java para segurança, tipicamente em clientes que executam aplicativos Java Web Start em sandbox ou applets Java em sandbox. **Recomendações** Para as versões 8u391, 8u391-perf, 11.0.21, 17.0.9 e 21.0.1 do Oracle Java SE, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Para as versões 17.0.9 e 21.0.1 do Oracle GraalVM para JDK, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Para as versões 20.3.12, 21.3.8 e 22.3.4 do Oracle GraalVM Enterprise Edition, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso à sandbox do Java e limitar a execução de código não confiável até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** GnuTLS (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma diferença no tempo de resposta ao processar texto cifrado RSA em mensagens ClientKeyExchange com preenchimento PKCS#1 correto e incorreto. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 2.x do Mbed TLS anteriores à 2.28.7 Versões 3.x do Mbed TLS anteriores à 3.5.2 **Descrição** Um canal lateral de temporização nas operações privadas RSA poderia permitir que um invasor local recuperasse o texto simples enviando um grande número de mensagens para descriptografia, conforme descrito em “Everlasting ROBOT: the Marvin Attack”, de Hubert Kario. Esse canal lateral poderia ser explorado por um invasor remoto para obter acesso a informações confidenciais. **Recomendações** Para as versões 2.x do Mbed TLS anteriores à 2.28.7, atualize para a versão 2.28.7 ou posterior para resolver o problema. Para as versões 3.x do Mbed TLS anteriores à 3.5.2, atualize para a versão 3.5.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às operações privadas RSA até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** PyCryptodome e pycryptodomex em versões anteriores à 3.19.1 **Descrição** O problema está relacionado a um vazamento por canal lateral na descriptografia OAEP, que pode ser explorado para um ataque Manger. Isso permite que um invasor remoto obtenha acesso não autorizado a informações protegidas devido à divulgação de informações por meio de inconsistências. **Recomendações** Para versões anteriores à 3.19.1, atualize para a versão 3.19.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da descriptografia OAEP no PyCryptodome e no pycryptodomex até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do PHP anteriores à 8.1.29 Versões do PHP anteriores à 8.2.20 Versões do PHP anteriores à 8.3.8 **Descrição** O problema está relacionado à função `openssl private decrypt` no PHP ao usar o preenchimento PKCS1, que é a configuração padrão. Isso torna o PHP vulnerável ao ataque Marvin, a menos que seja usado com uma versão do OpenSSL que inclua alterações específicas. As alterações fazem parte do OpenSSL 3.2 e foram portadas para versões estáveis de várias distribuições Linux e compilações do PHP para Windows. **Recomendações** Para versões do PHP anteriores à 8.1.29, atualize para a versão 8.1.29 ou posterior para incluir os patches do OpenSSL que corrigem a vulnerabilidade. Para versões do PHP anteriores à 8.2.20, atualize para a versão 8.2.20 ou posterior para incluir os patches do OpenSSL que corrigem a vulnerabilidade. Para versões do PHP anteriores à 8.3.8, atualize para a versão 8.3.8 ou posterior para incluir os patches do OpenSSL que corrigem a vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Mozilla Firefox versions prior to 121 **Description** The issue is related to a side-channel attack known as "Minerva" that affects multiple NSS NIST curves, potentially allowing an attacker to recover the private key. This could lead to the disclosure of confidential information. The attack can be exploited by a remote attacker. **Recommendations** For versions prior to 121, update to version 121 or later to resolve the issue. As a temporary workaround, consider restricting access to sensitive information until the update is applied.

**Name of the Vulnerable Software and Affected Versions** m2crypto (affected versions not specified) **Description** A flaw was found in m2crypto, which may allow a remote attacker to decrypt captured messages in TLS servers that use RSA key exchanges. This could lead to the exposure of confidential or sensitive data. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** python-cryptography (affected versions not specified) **Description** A flaw was found in the python-cryptography package, which may allow a remote attacker to decrypt captured messages in TLS servers that use RSA key exchanges. This could lead to exposure of confidential or sensitive data. The issue is related to an uncontrolled consumption of resources in the RSA Key Exchange Handler component. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** OpenSC (versões afetadas não especificadas) **Descrição** Foi identificada uma vulnerabilidade no OpenSC em que a remoção do preenchimento de criptografia PKCS#1 não está implementada de forma resistente a canais laterais, o que pode resultar no vazamento de dados privados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** jsrsasign versions prior to 11.0.0 **Description** The issue is related to an Observable Discrepancy via the RSA PKCS1.5 or RSAOAEP decryption process in the jsrsasign package. An attacker can decrypt ciphertexts by exploiting this flaw, which is also known as the Marvin security flaw. Exploiting this issue requires the attacker to have access to a large number of ciphertexts encrypted with the same key. This vulnerability can be exploited to perform a Bleichenbacher or Marvin attack. **Recommendations** For jsrsasign versions prior to 11.0.0, update to jsrsasign 11.0.0 to resolve the issue. As a temporary workaround, consider finding and replacing RSA and RSAOAEP decryption with another crypto library until the update is applied.

**Name of the Vulnerable Software and Affected Versions** Network Security Services (NSS) versions prior to the fixed version Firefox versions prior to 124 Firefox ESR versions prior to 115.9 Thunderbird versions prior to 115.9 **Description** The issue is related to the implementation of PKCS#1 v1.5, OAEP, and RSASVP standards in the NSS library, which lacks sufficient protection of service data due to a timing discrepancy. This allows a remote attacker to perform a Bleichenbacher or Marvin attack, potentially recovering private data. The vulnerability is also described as a timing side-channel attack when performing RSA decryption. **Recommendations** For NSS, update to a version that includes the fix for this issue. For Firefox versions prior to 124, update to version 124 or later. For Firefox ESR versions prior to 115.9, update to version 115.9 or later. For Thunderbird versions prior to 115.9, update to version 115.9 or later. As a temporary workaround, consider restricting the use of RSA decryption in the affected software until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Network Security Services (NSS) versions prior to 3.61 **Description** The issue is related to the implementation of the PKCS#1 v1.5 standard in the NSS library, which was leaking information useful for mounting Bleichenbacher-like attacks through timing side-channel. This allowed an attacker to decrypt a previously intercepted PKCS#1 v1.5 ciphertext or forge a signature using the victim's key by sending a large number of attacker-selected ciphertexts. The problem was fixed by implementing the implicit rejection algorithm. **Recommendations** For versions prior to 3.61, update to version 3.61 or later to resolve the issue. As a temporary workaround, consider implementing the implicit rejection algorithm to return a deterministic random message in case invalid padding is detected. Restrict access to the PKCS#1 v1.5 functionality to minimize the risk of exploitation until the update is applied.

**Name of the Vulnerable Software and Affected Versions** GnuTLS (affected versions not specified) **Description** A timing side-channel in the handling of RSA ClientKeyExchange messages was discovered in GnuTLS. This side-channel can be sufficient to recover the key encrypted in the RSA ciphertext across a network in a Bleichenbacher style attack. To achieve a successful decryption, the attacker would need to send a large amount of specially crafted messages to the vulnerable server. By recovering the secret from the ClientKeyExchange message, the attacker would be able to decrypt the application data exchanged over that connection. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** OpenSSL (affected versions not specified) **Description** A NULL pointer can be dereferenced when signatures are being verified on PKCS7 signed or signedAndEnveloped data. This occurs when the hash algorithm used for the signature is known to the OpenSSL library, but the implementation of the hash algorithm is not available, causing the digest initialization to fail. The unavailability of an algorithm can be caused by using FIPS enabled configuration of providers or more commonly by not loading the legacy provider. PKCS7 data is processed by the SMIME library calls and also by the time stamp (TS) library calls. The TLS implementation in OpenSSL does not call these functions; however, third-party applications would be affected if they call these functions to verify signatures on untrusted data. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Mbed TLS anteriores à 2.28.1 Versões 3.x do Mbed TLS anteriores à 3.2.0 **Descrição** Foi descoberta uma vulnerabilidade no Mbed TLS em que um invasor não autenticado pode enviar uma mensagem ClientHello inválida a um servidor DTLS, causando uma leitura excessiva do buffer baseada em heap de até 255 bytes. Isso pode causar uma falha no servidor ou, possivelmente, a divulgação de informações com base em respostas de erro. As configurações afetadas têm `MBEDTLS SSL DTLS CLIENT PORT REUSE` habilitado e `MBEDTLS SSL IN CONTENT LEN` menor que um limite que depende da configuração. **Recomendações** Para versões do Mbed TLS anteriores à 2.28.1, atualize para a versão 2.28.1 ou posterior. Para versões 3.x do Mbed TLS anteriores à 3.2.0, atualize para a versão 3.2.0 ou posterior. Como solução temporária, considere desativar o recurso `MBEDTLS SSL DTLS CLIENT PORT REUSE` até que um patch esteja disponível. Restrinja o acesso ao servidor DTLS para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Mbed TLS versão 2.24.0 **Descrição** Existe uma vulnerabilidade de canal lateral na decodificação de arquivos PEM base64, permitindo que invasores em nível de sistema obtenham informações sobre chaves RSA secretas por meio de um ataque de canal controlado e de canal lateral em software executado em ambientes isolados. Esse problema está relacionado ao uso da funcionalidade de decodificação base64 com tempo de execução não constante, que pode ser explorada por um invasor remoto para acessar dados confidenciais. **Recomendações** Para o Mbed TLS versão 2.24.0, considere desativar a funcionalidade de decodificação de arquivos PEM base64 como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a dados sensíveis e informações confidenciais para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.