PT-2022-22810 · Mbed Tls+3 · Mbed Tls+3
Hubert Kario
·
Publicado
2022-07-13
·
Atualizado
2026-06-05
·
CVE-2022-35409
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Mbed TLS anteriores à 2.28.1
Versões 3.x do Mbed TLS anteriores à 3.2.0
Descrição
Foi descoberta uma vulnerabilidade no Mbed TLS em que um invasor não autenticado pode enviar uma mensagem ClientHello inválida a um servidor DTLS, causando uma leitura excessiva do buffer baseada em heap de até 255 bytes. Isso pode causar uma falha no servidor ou, possivelmente, a divulgação de informações com base em respostas de erro. As configurações afetadas têm
MBEDTLS SSL DTLS CLIENT PORT REUSE habilitado e MBEDTLS SSL IN CONTENT LEN menor que um limite que depende da configuração.Recomendações
Para versões do Mbed TLS anteriores à 2.28.1, atualize para a versão 2.28.1 ou posterior.
Para versões 3.x do Mbed TLS anteriores à 3.2.0, atualize para a versão 3.2.0 ou posterior.
Como solução temporária, considere desativar o recurso
MBEDTLS SSL DTLS CLIENT PORT REUSE até que um patch esteja disponível.Restrinja o acesso ao servidor DTLS para minimizar o risco de exploração.
Exploit
Correção
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Debian
Mbed Tls