Raul Metsma

**Nome do software vulnerável e versões afetadas** Versões 3.0.0 a 3.0.2 do OpenSSL **Descrição** O problema está relacionado à função `OCSP basic verify` na biblioteca OpenSSL, que verifica o certificado do signatário em uma resposta OCSP. Quando o sinalizador não padrão `OCSP NOCHECKS` é usado, a resposta será positiva mesmo que o certificado de assinatura da resposta não seja verificado. Isso pode permitir que um invasor remoto execute um ataque “man-in-the-middle”. O aplicativo de linha de comando “ocsp” do OpenSSL também é afetado ao verificar uma resposta OCSP com a opção “-no cert checks”. **Recomendações** Para as versões 3.0.0 a 3.0.2 do OpenSSL, atualize para o OpenSSL 3.0.3 para corrigir o problema. Como solução alternativa temporária, considere evitar o uso do sinalizador `OCSP NOCHECKS` na função `OCSP basic verify` até que um patch esteja disponível. Restrinja o acesso ao aplicativo de linha de comando “ocsp” do OpenSSL para minimizar o risco de exploração ao verificar respostas OCSP com a opção “-no cert checks”.