PT-2020-6618 · Mbed Tls+2 · Mbed Tls+2
Peter Kolbus
·
Publicado
2020-12-02
·
Atualizado
2025-08-21
·
CVE-2020-36475
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Mbed TLS anteriores à 2.25.0
Versões do Mbed TLS anteriores à 2.16.9 LTS
Versões do Mbed TLS anteriores à 2.7.18 LTS
Descrição
O problema está relacionado à função mbedtls mpi exp mod no Mbed TLS, que não possui um limite para o tamanho dos dados durante os cálculos. Isso permite que um invasor remoto cause uma negação de serviço fornecendo parâmetros excessivamente grandes, particularmente ao gerar pares de chaves Diffie-Hellman.
Recomendações
Para versões do Mbed TLS anteriores à 2.25.0, atualize para a versão 2.25.0 ou posterior para resolver o problema.
Para versões do Mbed TLS anteriores à 2.16.9 LTS, atualize para a versão 2.16.9 LTS ou posterior para resolver o problema.
Para versões do Mbed TLS anteriores à 2.7.18 LTS, atualize para a versão 2.7.18 LTS ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o tamanho dos parâmetros fornecidos à função
mbedtls mpi exp mod para evitar entradas excessivamente grandes.Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Mbed Tls