PT-2024-4043 · Openssl+9 · Openssl+9

Hubert Kario

·

Publicado

2024-05-13

·

Atualizado

2026-01-21

·

CVE-2024-26306

CVSS v3.1

5.9

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do iPerf3 anteriores à 3.17
Versões do OpenSSL anteriores à 3.2.0
Descrição
O problema está relacionado a um canal lateral de temporização nas operações de descriptografia RSA quando o iPerf3 é usado como servidor com autenticação RSA e OpenSSL. Isso poderia permitir que um invasor remoto recuperasse credenciais em texto simples enviando um grande número de mensagens para descriptografia, conforme descrito no artigo “Everlasting ROBOT: the Marvin Attack”, de Hubert Kario.
Recomendações
Para versões do iPerf3 anteriores à 3.17, atualize para a versão 3.17 ou posterior para resolver o problema.
Para versões do OpenSSL anteriores à 3.2.0, atualize para a versão 3.2.0 ou posterior para resolver o problema.
Como solução alternativa temporária, considere desativar a autenticação RSA no iPerf3 até que um patch esteja disponível.
Restrinja o acesso ao servidor com autenticação RSA para minimizar o risco de exploração.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-310CWE-385

Identificadores relacionados

ALSA-2024:4241
ALSA-2024:9185
AZL-40537
AZL-40658
BDU:2024-04484
CESA-2024_4241
CVE-2024-26306
DLA-4032-1
INFSA-2024_4241
INFSA-2024_9185
MGASA-2024-0226
OESA-2024-1604
OESA-2024-1639
OESA-2024-1640
OESA-2024-1729
OPENSUSE-SU-2024:13964-1
RHSA-2024:4241
RHSA-2024:9185
RHSA-2024_4241
RHSA-2024_9185
RLSA-2024:9185
SUSE-SU-2024:1981-1
USN-7970-1

Produtos afetados

Almalinux
Centos
Debian
Linuxmint
Openssl
Red Hat
Red Os
Rocky Linux
Ubuntu
Iperf3