PT-2021-6687 · Mbed Tls+2 · Mbed Tls+2

Kfyatek

·

Publicado

2020-09-02

·

Atualizado

2025-08-21

·

CVE-2020-36476

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Mbed TLS anteriores à 2.24.0
Versões do Mbed TLS anteriores à 2.16.8 LTS
Versões do Mbed TLS anteriores à 2.7.17 LTS
Descrição
O problema está relacionado à falta de zeragem dos buffers de texto simples na função mbedtls ssl read, que não consegue apagar dados de aplicativos não utilizados da memória. Isso poderia permitir que um invasor remoto comprometesse a integridade dos dados.
Recomendações
Para versões anteriores à 2.24.0, atualize para a versão 2.24.0 ou posterior.
Para versões anteriores à 2.16.8 LTS, atualize para a versão 2.16.8 LTS ou posterior.
Para versões anteriores à 2.7.17 LTS, atualize para a versão 2.7.17 LTS ou posterior.

Correção

Exposure of Resource to Wrong Sphere

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-212CWE-668

Identificadores relacionados

ALT-PU-2020-2711
ALT-PU-2021-2234
ALT-PU-2025-10462
BDU:2022-02040
CVE-2020-36476
DLA-2826-1
DLA-3249-1

Produtos afetados

Alt Linux
Astra Linux
Mbed Tls