PT-2021-6813 · Arm+4 · Mbed Tls+4

Hubert Kario

·

Publicado

2021-03-13

·

Atualizado

2025-08-21

·

CVE-2021-24119

CVSS v2.0

6.8

Média

VetorAV:N/AC:L/Au:S/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Mbed TLS versão 2.24.0
Descrição
Existe uma vulnerabilidade de canal lateral na decodificação de arquivos PEM base64, permitindo que invasores em nível de sistema obtenham informações sobre chaves RSA secretas por meio de um ataque de canal controlado e de canal lateral em software executado em ambientes isolados. Esse problema está relacionado ao uso da funcionalidade de decodificação base64 com tempo de execução não constante, que pode ser explorada por um invasor remoto para acessar dados confidenciais.
Recomendações
Para o Mbed TLS versão 2.24.0, considere desativar a funcionalidade de decodificação de arquivos PEM base64 como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a dados sensíveis e informações confidenciais para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Side Channel Attack

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-203

Identificadores relacionados

ALT-PU-2021-1478
ALT-PU-2021-2234
ALT-PU-2025-10462
BDU:2022-02236
CVE-2021-24119
DLA-2826-1
DLA-3249-1
DLA-4236-1
OPENSUSE-SU-2021:1344-1
OPENSUSE-SU-2021:1355-1
OPENSUSE-SU-2021:1389-1
OPENSUSE-SU-2021_1344-1
OPENSUSE-SU-2024:11552-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Mbed Tls
Suse