CVE-2024-53857

Nome do software vulnerável e versões afetadas:

Versões do rPGP anteriores à 0.14.1

Descrição:

A vulnerabilidade permite que invasores provoquem esgotamento de recursos no rPGP por meio do envio de mensagens manipuladas, afetando a análise geral de mensagens e a descriptografia com chaves simétricas. Isso pode causar condições de falta de memória e travar o processo do rPGP ou levar à instabilidade do sistema devido ao esgotamento dos recursos de memória. A vulnerabilidade também envolve alocação excessiva de memória com valores de até 2 TiB ou tempos de processamento prolongados para algumas operações de descriptografia envolvendo a função Argon2. Um invasor pode enviar um pacote válido de Chave de Sessão Criptografada por Chave Simétrica que utilize Argon2 para hash de String-para-Chave com parâmetros excessivos, mas dentro dos limites de especificação do padrão OpenPGP RFC9580.

Recomendações:

Para versões anteriores à 0.14.1, atualize para a versão 0.14.2 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o uso de chaves simétricas e limitar o tamanho das mensagens recebidas para evitar alocação excessiva de memória. Evite usar a função Argon2 para hash de String-to-Key com parâmetros excessivos até que o problema seja resolvido.