PT-2021-20528 · Eclipse · Eclipse Californium
Achim Kraus
·
Publicado
2021-08-20
·
Atualizado
2021-08-26
·
CVE-2021-34433
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
Eclipse Californium, versões 2.0.0 a 2.6.4
Eclipse Californium, versões 3.0.0-M1 a 3.0.0-M3
Descrição:
Os handshakes DTLS baseados em certificado no Eclipse Californium podem ser acidentalmente bem-sucedidos sem verificar a assinatura do lado do servidor no lado do cliente, caso essa assinatura não esteja incluída no ServerKeyExchange do servidor. Este problema afeta os handshakes DTLS x509 e RPK.
Recomendações:
Para as versões 2.0.0 a 2.6.4, atualize para uma versão fora desse intervalo para garantir que o handshake DTLS verifique corretamente a assinatura do servidor.
Para as versões 3.0.0-M1 a 3.0.0-M3, atualize para uma versão fora desse intervalo para garantir que o handshake DTLS verifique corretamente a assinatura do servidor.
Como solução alternativa temporária, considere restringir o uso de handshakes DTLS baseados em certificado até que um patch esteja disponível.
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Eclipse Californium