William Ahern

Nome do software vulnerável e versões afetadas: Versões do OpenSSL anteriores à 3.3 (os módulos FIPS nas versões 3.3, 3.2, 3.1 e 3.0 não são afetados) Descrição: O problema está relacionado à função `SSL free buffers` no OpenSSL, que pode permitir o acesso à memória após ela ter sido liberada em determinadas situações. Isso pode levar à corrupção de dados válidos, falhas no sistema ou execução de código arbitrário. A função é usada para liberar o buffer interno do OpenSSL ao processar um registro recebido da rede. No entanto, foram identificados dois cenários em que o buffer é liberado mesmo quando ainda está em uso. Um invasor mal-intencionado poderia tentar criar uma situação em que isso ocorra, embora não haja conhecimento de que essa vulnerabilidade esteja sendo explorada ativamente. Recomendações: Como solução temporária, considere desativar a função `SSL free buffers` até que um patch esteja disponível. Restrinja o acesso à função `SSL free buffers` vulnerável para minimizar o risco de exploração. Evite usar a função `SSL free buffers` em aplicativos que a chamam diretamente, pois esses são os únicos aplicativos afetados por este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.