PT-2024-1576 · Openssl+9 · Openssl+9
Oss-Fuzz
+1
·
Publicado
2024-01-15
·
Atualizado
2026-04-27
·
CVE-2023-6237
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões 3.0 a 3.1 do OpenSSL
Descrição
O problema está relacionado à função
EVP PKEY public check() na biblioteca OpenSSL, que pode levar a um ataque de Negação de Serviço (DoS) ao verificar chaves públicas RSA inválidas excessivamente longas. Isso pode causar longos atrasos em aplicativos que utilizam essa função para verificar chaves públicas RSA obtidas de fontes não confiáveis. A função EVP PKEY public check() é chamada a partir do aplicativo de linha de comando pkey do OpenSSL, tornando-a vulnerável quando utilizada com as opções ‘-pubin’ e ‘-check’ em dados não confiáveis. A implementação SSL/TLS do OpenSSL não é afetada por este problema.Recomendações
Para as versões 3.0 a 3.1 do OpenSSL, considere desativar a função
EVP PKEY public check() até que um patch esteja disponível para evitar possíveis ataques de Negação de Serviço. Restrinja o acesso ao aplicativo de linha de comando pkey do OpenSSL quando usado com as opções ‘-pubin’ e ‘-check’ em dados não confiáveis para minimizar o risco de exploração. Evite usar a função EVP PKEY public check() em chaves públicas RSA não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Ibm Aix
Linuxmint
Openssl
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu