PT-2024-3762 · Openssl+10 · Openssl+10
Manish Patidar
+1
·
Publicado
2024-04-08
·
Atualizado
2026-04-27
·
CVE-2024-2511
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do OpenSSL anteriores à 3.3.0
Descrição
O problema está relacionado ao crescimento ilimitado da memória durante o processamento de sessões TLSv1.3 devido ao uso da opção SSL OP NO TICKET, que não é padrão. Isso pode levar a uma negação de serviço. O problema ocorre quando o cache de sessão entra em um estado incorreto e não consegue ser liberado adequadamente à medida que se enche. Um cliente mal-intencionado poderia criar deliberadamente as condições para essa falha, a fim de forçar uma negação de serviço. Este problema afeta apenas servidores TLS que suportam TLSv1.3 e não afeta clientes TLS. Os módulos FIPS nas versões 3.2, 3.1 e 3.0 não são afetados por este problema, nem o OpenSSL 1.0.2.
Recomendações
Para resolver o problema, atualize para a versão 3.3.0 ou posterior do OpenSSL. Como solução alternativa temporária, considere desativar o uso da opção SSL OP NO TICKET nas configurações do servidor TLSv1.3 até que um patch esteja disponível. Restrinja o acesso às sessões TLSv1.3 para minimizar o risco de exploração. Evite usar a opção
SSL OP NO TICKET nas configurações do servidor TLSv1.3 até que o problema seja resolvido.Exploit
Correção
DoS
Improper Resource Release
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Ibm Aix
Linuxmint
Openssl
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu