CVE-2024-4741

Nome do software vulnerável e versões afetadas:

Versões do OpenSSL anteriores à 3.3 (os módulos FIPS nas versões 3.3, 3.2, 3.1 e 3.0 não são afetados)

Descrição:

O problema está relacionado à função SSL free buffers no OpenSSL, que pode permitir o acesso à memória após ela ter sido liberada em determinadas situações. Isso pode levar à corrupção de dados válidos, falhas no sistema ou execução de código arbitrário. A função é usada para liberar o buffer interno do OpenSSL ao processar um registro recebido da rede. No entanto, foram identificados dois cenários em que o buffer é liberado mesmo quando ainda está em uso. Um invasor mal-intencionado poderia tentar criar uma situação em que isso ocorra, embora não haja conhecimento de que essa vulnerabilidade esteja sendo explorada ativamente.

Recomendações:

Como solução temporária, considere desativar a função SSL free buffers até que um patch esteja disponível.

Restrinja o acesso à função SSL free buffers vulnerável para minimizar o risco de exploração.

Evite usar a função SSL free buffers em aplicativos que a chamam diretamente, pois esses são os únicos aplicativos afetados por este problema.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.