PT-2022-25147 · Openssl+3 · Openssl+3
Paul Dale
+1
·
Publicado
2022-12-13
·
Atualizado
2024-08-01
·
CVE-2022-3996
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
OpenSSL (versões afetadas não especificadas)
Descrição
O problema ocorre quando um certificado X.509 contém uma restrição de política malformada e o processamento de políticas está habilitado. Isso resulta na aplicação recursiva de um bloqueio de gravação duas vezes, levando a uma negação de serviço quando o processo afetado trava em alguns sistemas operacionais, principalmente no Windows. O processamento de políticas é ativado passando o argumento
-policy para os utilitários de linha de comando ou chamando a função X509 VERIFY PARAM set1 policies(). Vale ressaltar que o processamento de políticas ativado em um servidor voltado para o público não é considerado uma configuração comum.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
DoS
Improper Locking
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Openssl
Suse
Ubuntu