Nikola Pajkovsky

**Nome do Software Vulnerável e Versões Afetadas** OpenSSL (versões afetadas não especificadas) **Descrição** Uma leitura fora dos limites (out-of-bounds read) de heap pode ocorrer durante a descriptografia baseada em senha do CMS (RFC 3211 / PWRI key unwrap) ao processar dados CMS fornecidos por um invasor. O problema ocorre na função `kek unwrap key()` quando um invasor seleciona uma cifra KEK (Key Encryption Key) em modo de fluxo via um OID no `keyEncryptionAlgorithm`. Como o sistema não exige que a cifra seja de bloco, a verificação de comprimento mínimo é ignorada, permitindo que o buffer alocado para a chave desembrulhada seja pequeno demais para os bytes de verificação especificados na RFC. Isso pode causar a interrupção do sistema (crash) e consequente Negação de Serviço se o buffer de entrada terminar no limite de uma página de memória e a página seguinte não estiver mapeada. Aplicações que utilizam `CMS decrypt()` ou `CMS decrypt set1 password()` em dados não confiáveis são afetadas. Não é necessário conhecimento da senha para disparar este problema. Módulos FIPS não são afetados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** OpenSSL FIPS modules versões 3.0 através de 3.6 **Description** Aplicações que usam encapsulamento de chave RSASVE podem enviar o conteúdo de um buffer de memória não inicializado para um par malicioso, potencialmente levando ao vazamento de dados confidenciais. Isso ocorre quando as aplicações usam `EVP PKEY encapsulate()` com RSA/RSASVE em uma chave pública RSA inválida fornecida por um atacante sem primeiro validar essa chave. A função `RSA public encrypt()` retorna o número de bytes gravados em caso de sucesso e -1 em caso de erro, mas o código afetado verifica apenas se o valor de retorno é diferente de zero. Se a criptografia RSA falhar, o encapsulamento ainda pode retornar sucesso, permitindo que o chamador use o texto cifrado não inicializado. Chamar `EVP PKEY public check()` ou `EVP PKEY public check quick()` antes de `EVP PKEY encapsulate()` pode mitigar esse problema. **Recommendations** Aplique a atualização de segurança do OpenSSL de abril de 2026 imediatamente. Se você não puder atualizar imediatamente, chame `EVP PKEY public check()` ou `EVP PKEY public check quick()` antes de `EVP PKEY encapsulate()` como uma mitigação. Audite o uso de RSASVE/`EVP PKEY encapsulate()` e certifique-se de que as chaves públicas sejam validadas antes da encapsulação. Gire chaves/segredos se houver suspeita de exposição.