PT-2021-6992 · Openssl+1 · Openssl+1

Bernd Edlinger

·

Publicado

2021-12-10

·

Atualizado

2026-04-27

·

CVE-2021-4160

CVSS v3.1

5.9

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do OpenSSL 1.0.2 a 1.0.2zb
Versões do OpenSSL 1.1.1 a 1.1.1l
Versão 3.0.0 do OpenSSL
Descrição
O problema está relacionado a um bug de propagação de carry no procedimento de elevação ao quadrado MIPS32 e MIPS64 da biblioteca OpenSSL, o que pode levar ao comprometimento de algoritmos de curva elíptica, incluindo algumas das curvas padrão do TLS 1.3. Esse bug pode permitir que um invasor remoto divulgue informações protegidas, especialmente se chaves privadas forem reutilizadas. No entanto, os pré-requisitos para um ataque são considerados improváveis, e o impacto não foi analisado em detalhes. A quantidade de recursos necessários para tal ataque seria significativa.
Recomendações
Para as versões 1.0.2 a 1.0.2zb do OpenSSL, atualize para a versão 1.0.2zc ou aplique a correção do commit git 6fc1aaaf3.
Para as versões 1.1.1 a 1.1.1l do OpenSSL, atualize para a versão 1.1.1m.
Para a versão 3.0.0 do OpenSSL, atualize para a versão 3.0.1.

Exploit

Correção

Use of a Broken Cryptographic Algorithm

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-327CWE-200

Identificadores relacionados

ALT-PU-2022-1227
ALT-PU-2022-1515
ALT-PU-2022-1543
ALT-PU-2022-1562
AZL-8472
BDU:2022-02820
CVE-2021-4160
DSA-5103-1
JLSEC-2026-226

Produtos afetados

Alt Linux
Openssl