Invd

**Name of the Vulnerable Software and Affected Versions** rsa crate versions prior to 0.9.10 **Description** The `rsa` crate, an RSA implementation written in rust, experiences a panic instead of returning an error during the creation of an RSA private key from its components when one of the prime numbers is equal to `1`. This issue occurs in versions prior to 0.9.10. **Recommendations** Update to rsa crate version 0.9.10 or later.

Nome do software vulnerável e versões afetadas: Versões do rPGP anteriores à 0.14.1 Descrição: A vulnerabilidade permite que invasores provoquem esgotamento de recursos no rPGP por meio do envio de mensagens manipuladas, afetando a análise geral de mensagens e a descriptografia com chaves simétricas. Isso pode causar condições de falta de memória e travar o processo do rPGP ou levar à instabilidade do sistema devido ao esgotamento dos recursos de memória. A vulnerabilidade também envolve alocação excessiva de memória com valores de até 2 TiB ou tempos de processamento prolongados para algumas operações de descriptografia envolvendo a função `Argon2`. Um invasor pode enviar um pacote válido de `Chave de Sessão Criptografada por Chave Simétrica` que utilize `Argon2` para hash de String-para-Chave com parâmetros excessivos, mas dentro dos limites de especificação do padrão OpenPGP RFC9580. Recomendações: Para versões anteriores à 0.14.1, atualize para a versão 0.14.2 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o uso de chaves simétricas e limitar o tamanho das mensagens recebidas para evitar alocação excessiva de memória. Evite usar a função `Argon2` para hash de String-to-Key com parâmetros excessivos até que o problema seja resolvido.