CVE-2021-27217

**Nome do software vulnerável e versões afetadas:

Yubico yubihsm-shell, versões 2.0.0 a 2.0.3

Descrição:

Foi detectada uma falha na função send secure msg(). A função não valida corretamente o campo de comprimento incorporado de uma mensagem autenticada recebida do dispositivo. Leituras fora dos limites realizadas por aes remove padding() podem travar o processo em execução, dependendo do layout da memória. Isso poderia ser usado por um invasor para causar uma negação de serviço no lado do cliente. O projeto yubihsm-shell está incluído no produto YubiHSM 2 SDK.

Recomendações:

Para as versões 2.0.0 a 2.0.3, como solução temporária, considere desativar a função send secure msg() até que um patch esteja disponível. Restrinja o acesso à função vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.