PT-2024-4000 · Openssl+8 · Openssl+8
Oss-Fuzz
+2
·
Publicado
2024-05-16
·
Atualizado
2026-04-27
·
CVE-2024-4603
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Provedores FIPS das versões 3.0 e 3.1 do OpenSSL
Descrição
O problema está relacionado às funções
EVP PKEY param check() e EVP PKEY public check() na biblioteca OpenSSL, que podem levar a um ataque de Negação de Serviço (DoS) ao verificar chaves ou parâmetros DSA excessivamente longos. Essas funções realizam várias verificações nos parâmetros DSA, e alguns cálculos podem demorar muito tempo se o módulo (parâmetro p) for muito grande. Um aplicativo que chame essas funções e forneça uma chave ou parâmetros obtidos de uma fonte não confiável pode estar vulnerável a um ataque DoS. A implementação SSL/TLS do OpenSSL não é afetada por este problema.Recomendações
Para os provedores FIPS das versões 3.0 e 3.1 do OpenSSL, considere desativar as funções
EVP PKEY param check() e EVP PKEY public check() até que um patch esteja disponível. Restrinja o acesso aos aplicativos de linha de comando pkey e pkeyparam ao usar a opção -check para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.DoS
Improper Resource Release
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Ibm Aix
Linuxmint
Openssl
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu