Salusasecondus

**Nome do software vulnerável e versões afetadas** netty-incubator-codec-ohttp (versões afetadas não especificadas) **Descrição** O problema decorre de dois erros distintos no BoringSSLAEADContext, que mantém o controle do número de respostas OHTTP enviadas para calcular o nonce do algoritmo de criptografia. Esses erros podem causar um estouro do número de sequência, resultando na repetição do nonce. O número de sequência é armazenado como um inteiro de 32 bits, o que torna relativamente fácil ocorrer um estouro, e não há detecção de estouro nem imposição do valor máximo de sequência. Se o BoringSSLAEADContext for usado para criptografar mais de 2^32 mensagens, o nonce AES-GCM se repetirá, comprometendo tanto a confidencialidade quanto a integridade dos dados criptografados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.