Matt Caswell

Nome do software vulnerável e versões afetadas: Versões do OpenSSL anteriores à 3.3 (os módulos FIPS nas versões 3.3, 3.2, 3.1 e 3.0 não são afetados) Descrição: O problema está relacionado à função `SSL free buffers` no OpenSSL, que pode permitir o acesso à memória após ela ter sido liberada em determinadas situações. Isso pode levar à corrupção de dados válidos, falhas no sistema ou execução de código arbitrário. A função é usada para liberar o buffer interno do OpenSSL ao processar um registro recebido da rede. No entanto, foram identificados dois cenários em que o buffer é liberado mesmo quando ainda está em uso. Um invasor mal-intencionado poderia tentar criar uma situação em que isso ocorra, embora não haja conhecimento de que essa vulnerabilidade esteja sendo explorada ativamente. Recomendações: Como solução temporária, considere desativar a função `SSL free buffers` até que um patch esteja disponível. Restrinja o acesso à função `SSL free buffers` vulnerável para minimizar o risco de exploração. Evite usar a função `SSL free buffers` em aplicativos que a chamam diretamente, pois esses são os únicos aplicativos afetados por este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do OpenSSL anteriores à próxima versão (versão exata não especificada) CPython versão 3.9 e anteriores **Descrição** O problema está relacionado à função da API do OpenSSL `SSL select next proto`, que pode causar uma falha ou o envio do conteúdo da memória para o par quando chamada com um buffer vazio de protocolos de cliente suportados. Isso pode resultar em perda de confidencialidade, com até 255 bytes de dados privados arbitrários da memória sendo enviados para o par. O problema normalmente não está sob o controle do invasor e pode ocorrer acidentalmente devido a um erro de configuração ou programação no aplicativo que faz a chamada. A função `SSL select next proto` é usada por aplicativos TLS que suportam ALPN (Application Layer Protocol Negotiation) ou NPN (Next Protocol Negotiation), sendo que o NPN é mais antigo e está obsoleto em favor do ALPN. **Recomendações** Para versões do OpenSSL anteriores à próxima versão, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Para o CPython versão 3.9 e anteriores, certifique-se de que `SSLContext.set npn protocols()` não esteja configurado com uma lista vazia para evitar o problema de leitura excessiva do buffer. Como solução temporária, considere desativar o uso do NPN em favor do ALPN para minimizar o risco de exploração. Restrinja o acesso à função `SSL select next proto` para evitar chamadas acidentais com buffers de protocolo de cliente vazios. Evite usar o parâmetro `client len` com valor 0 ao chamar t

**Nome do software vulnerável e versões afetadas** Versões do OpenSSL anteriores à 3.3.0 **Descrição** O problema está relacionado ao crescimento ilimitado da memória durante o processamento de sessões TLSv1.3 devido ao uso da opção SSL OP NO TICKET, que não é padrão. Isso pode levar a uma negação de serviço. O problema ocorre quando o cache de sessão entra em um estado incorreto e não consegue ser liberado adequadamente à medida que se enche. Um cliente mal-intencionado poderia criar deliberadamente as condições para essa falha, a fim de forçar uma negação de serviço. Este problema afeta apenas servidores TLS que suportam TLSv1.3 e não afeta clientes TLS. Os módulos FIPS nas versões 3.2, 3.1 e 3.0 não são afetados por este problema, nem o OpenSSL 1.0.2. **Recomendações** Para resolver o problema, atualize para a versão 3.3.0 ou posterior do OpenSSL. Como solução alternativa temporária, considere desativar o uso da opção SSL OP NO TICKET nas configurações do servidor TLSv1.3 até que um patch esteja disponível. Restrinja o acesso às sessões TLSv1.3 para minimizar o risco de exploração. Evite usar a opção `SSL OP NO TICKET` nas configurações do servidor TLSv1.3 até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** OpenSSL versions prior to 3.2 (excluding FIPS modules in 3.2, 3.1, and 3.0) **Description** The issue arises from the improper handling of NULL fields in PKCS12 files, leading to a potential Denial of Service attack. Applications loading files in the PKCS12 format from untrusted sources might terminate abruptly due to a NULL pointer dereference. The affected OpenSSL APIs are: `PKCS12 parse()`, `PKCS12 unpack p7data()`, `PKCS12 unpack p7encdata()`, `PKCS12 unpack authsafes()`, and `PKCS12 newpass()`. **Recommendations** As a temporary workaround, consider disabling the use of `PKCS12 parse()`, `PKCS12 unpack p7data()`, `PKCS12 unpack p7encdata()`, `PKCS12 unpack authsafes()`, and `PKCS12 newpass()` functions until a patch is available. Restrict access to PKCS12 files from untrusted sources to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** OpenSSL versions prior to 41.0.3 **Description** The issue is related to the functions `DH check()`, `DH check ex()`, and `EVP PKEY param check()` in the OpenSSL library. These functions can cause long delays when checking excessively long DH keys or parameters, potentially leading to a Denial of Service (DoS) attack if the key or parameters are obtained from an untrusted source. The `DH check()` function performs various checks on DH parameters, including confirming that the modulus (`p` parameter) is not too large. However, trying to use a very large modulus is slow, and OpenSSL will not normally use a modulus over 10,000 bits in length. The OpenSSL SSL/TLS implementation and the OpenSSL 3.0 and 3.1 FIPS providers are not affected by this issue. **Recommendations** To resolve the issue, update to OpenSSL version 41.0.3 or later. As a temporary workaround, consider restricting the use of the `DH check()`, `DH check ex()`, and `EVP PKEY param check()` functions to minimize the risk of exploitation. Avoid using the `p` parameter with large modulus values in the affected functions until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** OpenSSL versions prior to 3.0 OpenSSL versions 3.0 and newer MySQL Server versions 5.7.42 and earlier, 8.0.33 and earlier **Description** The issue is related to the processing of specially crafted ASN.1 object identifiers, which can cause significant delays in applications using the OpenSSL library. This can lead to a Denial of Service (DoS) condition. The `OBJ obj2txt()` function is used to translate an ASN.1 OBJECT IDENTIFIER to its canonical numeric text form, and when dealing with very large sub-identifiers, the translation can take a very long time. The time complexity is O(n^2) with 'n' being the size of the sub-identifiers in bytes. The impact is relatively low on TLS due to the 100KiB limit on the peer's certificate chain. Applications that call `OBJ obj2txt()` directly with untrusted data are affected, with any version of OpenSSL. **Recommendations** For OpenSSL versions prior to 3.0, consider upgrading to a newer version to mitigate the risk. For OpenSSL versions 3.0 and newer, ensure that the subsystems OCSP, PKCS7/SMIME, CMS, CMP/CRMF or TS have message size limits in place to prevent excessive delays. For MySQL Server versions 5.7.42 and earlier, 8.0.33 and earlier, upgrade to a newer version to address the vulnerability. As a temporary workaround, consider disabling the `OBJ obj2txt()` function or restricting its use with untrusted data until a patch is available.

**Name of the Vulnerable Software and Affected Versions** OpenSSL (affected versions not specified) **Description** The issue is related to the handling of invalid certificate policies in leaf certificates by OpenSSL. When a non-default option is used for verifying certificates, applications may be vulnerable to an attack from a malicious Certificate Authority (CA) that could circumvent certain checks. Invalid certificate policies in leaf certificates are silently ignored, and other certificate policy checks are skipped for that certificate. A malicious CA could deliberately assert invalid certificate policies to circumvent policy checking on the certificate altogether. Policy processing is disabled by default but can be enabled by passing the `-policy` argument to the command line utilities or by calling the `X509 VERIFY PARAM set1 policies()` function. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** OpenSSL (versões afetadas não especificadas) MySQL Server versões 5.7.41 e anteriores, 8.0.32 e anteriores **Descrição** A função da API pública BIO new NDEF é uma função auxiliar usada para transmitir dados ASN.1 por meio de um BIO. Ela é usada principalmente internamente no OpenSSL para oferecer suporte aos recursos de streaming SMIME, CMS e PKCS7, mas também pode ser chamada diretamente por aplicativos de usuários finais. A função recebe um BIO do chamador, acrescenta um novo filtro BIO f asn1 à sua frente para formar uma cadeia BIO e, em seguida, retorna o novo cabeçalho da cadeia BIO ao chamador. Sob certas condições, por exemplo, se uma chave pública do destinatário CMS for inválida, o novo filtro BIO é liberado e a função retorna um resultado NULL indicando uma falha. No entanto, nesse caso, a cadeia BIO não é limpa adequadamente e o BIO passado pelo chamador ainda retém ponteiros internos para o filtro BIO liberado anteriormente. Se o chamador então chamar BIO pop() no BIO, ocorrerá um uso após liberação. Isso provavelmente resultará em uma falha do sistema. Esse cenário ocorre diretamente na função interna B64 write ASN1(), o que pode fazer com que BIO new NDEF() seja chamado e, subsequentemente, chame BIO pop() no BIO. Outras funções da API pública que podem ser afetadas por isso incluem i2d ASN1 bio stream, BIO new CMS, BIO new PKCS7, i2d CMS bio stream e i2d PKCS7 bio stream. **Recomendações** Para o OpenSSL, no momento, não há informações sobre uma versão mais recente

**Nome do software vulnerável e versões afetadas** OpenSSL (versões afetadas não especificadas) **Descrição** A função PEM read bio ex() lê um arquivo PEM a partir de um BIO e analisa e decodifica o “nome” (por exemplo, “CERTIFICATE”), quaisquer dados de cabeçalho e os dados de carga útil. Se a função for bem-sucedida, os argumentos `name out`, `header` e `data` são preenchidos com ponteiros para buffers contendo os dados decodificados relevantes. O chamador é responsável por liberar esses buffers. É possível construir um arquivo PEM que resulte em 0 bytes de dados de carga útil. Nesse caso, PEM read bio ex() retornará um código de falha, mas preencherá o argumento `header` com um ponteiro para um buffer que já foi liberado. Se o chamador também liberar esse buffer, ocorrerá uma liberação dupla. Isso provavelmente levará a uma falha no sistema. Isso poderia ser explorado por um invasor com a capacidade de fornecer arquivos PEM maliciosos para análise, a fim de realizar um ataque de negação de serviço. As funções PEM read bio() e PEM read() são simples wrappers em torno de PEM read bio ex() e, portanto, essas funções também são diretamente afetadas. Essas funções também são chamadas indiretamente por várias outras funções do OpenSSL, incluindo PEM X509 INFO read bio ex() e SSL CTX use serverinfo file(), que também são vulneráveis. Alguns usos internos do OpenSSL dessas funções não são vulneráveis porque o chamador não libera o argumento `header` se PEM read bio ex() retornar um código de falha. Esses locais incluem a função PEM read bio TYPE()

**Name of the Vulnerable Software and Affected Versions** OpenSSL versions 1.1.1 through 1.1.1c **Description** The issue is related to the random number generator (RNG) in OpenSSL, which was intended to protect against shared RNG state between parent and child processes after a fork() system call. However, this protection was not enabled by default. A mitigation factor is that the output from a high precision timer is mixed into the RNG state, reducing the likelihood of shared state. The problem does not occur if an application explicitly calls OPENSSL init crypto() using OPENSSL INIT ATFORK. **Recommendations** For OpenSSL versions 1.1.1 through 1.1.1c, update to version 1.1.1d to resolve the issue. As a temporary workaround, consider explicitly calling OPENSSL init crypto() using OPENSSL INIT ATFORK in applications to prevent the problem.

**Name of the Vulnerable Software and Affected Versions** Node.js (affected versions not specified) **Description** The issue concerns a TLS handshake failure due to the use of SSL read(), allowing an active network attacker to send application data to Node.js using the TLS or HTTP2 modules, bypassing TLS authentication and encryption. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** OpenSSL versions 1.0.2 through 1.0.2a (excluding 1.0.2a) **Description** The issue is related to the ssl3 client hello function in OpenSSL, which does not ensure the proper initialization of the pseudorandom number generator (PRNG) before the handshake procedure. This can be exploited by a remote attacker to bypass cryptographic protection mechanisms by analyzing network traffic and conducting a brute-force attack. **Recommendations** For OpenSSL versions 1.0.2 through 1.0.2a (excluding 1.0.2a), update to version 1.0.2a or later to resolve the issue. At the moment, there is no information about additional mitigation measures for this specific issue.

**Name of the Vulnerable Software and Affected Versions** OpenSSL versions 1.0.2 through 1.0.2a (excluding 1.0.2a) **Description** The issue allows remote attackers to cause a denial of service (daemon crash) via a ClientKeyExchange message with a length of zero, when client authentication and an ephemeral Diffie-Hellman ciphersuite are enabled. This is due to insufficient input validation in the ssl3 get client key exchange function. The vulnerability can be exploited by sending a ClientKeyExchange message of zero length during the authentication procedure when the Diffie-Hellman protocol is enabled. **Recommendations** For OpenSSL versions 1.0.2 through 1.0.2a (excluding 1.0.2a), update to version 1.0.2a or later to resolve the issue. As a temporary workaround, consider disabling the ephemeral Diffie-Hellman ciphersuite until a patch is available. Restrict access to the ssl3 get client key exchange function to minimize the risk of exploitation.