PT-2021-15666 · Botan+2 · Botan+2

Publicado

2021-01-22

Atualizado

2021-07-10

CVE-2021-24115

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

**Nome do software vulnerável e versões afetadas:

Versões do Botan anteriores à 2.17.3

Descrição:

O problema diz respeito a determinadas operações de decodificação e codificação, especificamente base32, base58, base64 e hex, nas quais não são utilizados cálculos de tempo constante. Isso poderia potencialmente levar a ataques de temporização.

Recomendações:

Para versões anteriores à 2.17.3, atualize para a versão 2.17.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de operações de decodificação e codificação base32, base58, base64 e hex até que um patch esteja disponível.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

ALT-PU-2021-1113

AZL-44961

CVE-2021-24115

MGASA-2021-0329

OPENSUSE-SU-2021:0765-1

OPENSUSE-SU-2021:0794-1

OPENSUSE-SU-2021_0765-1

Produtos afetados

Alt Linux

Botan

Suse

PT-2021-15666 · Botan+2 · Botan+2

CVE-2021-24115

Identificadores relacionados

Produtos afetados

Referências · 24