PT-2022-3503 · Mysql Server+11 · Mysql Server+11
Alex Chernyakhovsky
·
Publicado
2022-07-05
·
Atualizado
2026-04-27
·
CVE-2022-2097
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do OpenSSL 1.1.1 a 1.1.1p
Versões do OpenSSL 3.0.0 a 3.0.4
Versões do MySQL Server 5.7.39 e anteriores
Versões do MySQL Server 8.0.30 e anteriores
Descrição
O modo OCB do AES para plataformas x86 de 32 bits que utilizam a implementação otimizada em assembly AES-NI não criptografa a totalidade dos dados em algumas circunstâncias, podendo revelar dezesseis bytes de dados pré-existentes na memória que não foram gravados. No caso específico da criptografia “in place”, dezesseis bytes do texto simples podem ser revelados. Como o OpenSSL não suporta conjuntos de chaves baseados em OCB para TLS e DTLS, ambos não são afetados.
Recomendações
Para as versões 1.1.1 a 1.1.1p do OpenSSL, atualize para a versão 1.1.1q.
Para as versões 3.0.0 a 3.0.4 do OpenSSL, atualize para a versão 3.0.5.
Para as versões 5.7.39 e anteriores do MySQL Server, atualize para uma versão posterior à 5.7.39.
Para as versões 8.0.30 e anteriores do MySQL Server, atualize para uma versão posterior à 8.0.30.
Como solução temporária, considere desativar o modo AES OCB para plataformas x86 de 32 bits usando a implementação otimizada de montagem AES-NI até que um patch esteja disponível.
Exploit
Correção
DoS
Missing Encryption of Sensitive Data
Use of a Broken Cryptographic Algorithm
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Ibm Aix
Linuxmint
Mysql Server
Openssl
Red Hat
Rocky Linux
Suse
Ubuntu