PT-2022-15979 · Wolfssl+1 · Wolfssl+1
Publicado
2022-01-04
·
Atualizado
2022-01-27
·
CVE-2022-23408
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 5.x do wolfSSL anteriores à 5.1.1
Descrição
O problema afeta conexões sem AEAD que utilizam AES-CBC ou DES3 com as versões 1.1 ou 1.2 do TLS ou as versões 1.1 ou 1.2 do DTLS. Isso ocorre devido a uma inicialização incorreta da memória na função
BuildMessage no arquivo internal.c. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.Recomendações
Para versões do wolfSSL 5.x anteriores à 5.1.1, atualize para a versão 5.1.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de AES-CBC ou DES3 com as versões 1.1 ou 1.2 do TLS ou as versões 1.1 ou 1.2 do DTLS até que um patch esteja disponível. Evite usar conexões sem AEAD até que o problema seja resolvido.
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Wolfssl