PT-2024-22603 · Mbed Tls · Mbed Tls
Alluettiv
+2
·
Publicado
2024-04-02
·
Atualizado
2025-06-27
·
CVE-2024-28836
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Mbed TLS de 3.5.x a 3.5.x, anteriores à 3.6.0
Versões do Mbed TLS anteriores à 3.6.0
Descrição
Foi descoberta uma falha no Mbed TLS: ao negociar a versão do TLS no lado do servidor, ele pode recorrer à implementação do protocolo TLS 1.2 se esta estiver desativada. Se a implementação do TLS 1.2 tiver sido desativada no momento da compilação, um cliente TLS 1.2 poderia colocar um servidor que suporta apenas TLS 1.3 em um loop infinito ao processar um TLS 1.2 ClientHello, resultando em uma negação de serviço. Se a implementação do TLS 1.2 estiver desativada em tempo de execução, um cliente TLS 1.2 pode estabelecer com sucesso uma conexão TLS 1.2 com o servidor.
Recomendações
Para versões do Mbed TLS 3.5.x anteriores à 3.6.0, atualize para a versão 3.6.0 ou posterior para resolver o problema.
Para versões do Mbed TLS anteriores à 3.6.0, atualize para a versão 3.6.0 ou posterior para resolver o problema.
Como solução alternativa temporária, considere desativar a implementação do TLS 1.2 para evitar uma negação de serviço.
Restrinja o acesso ao TLS 1.2 ClientHello para minimizar o risco de exploração.
Correção
DoS
Infinite Loop
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mbed Tls