PT-2024-5790 · Php+8 · Php+8

Hubert Kario

+1

·

Publicado

2023-12-19

·

Atualizado

2025-08-11

·

CVE-2024-2408

CVSS v3.1

5.9

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do PHP anteriores à 8.1.29
Versões do PHP anteriores à 8.2.20
Versões do PHP anteriores à 8.3.8
Descrição
O problema está relacionado à função openssl private decrypt no PHP ao usar o preenchimento PKCS1, que é a configuração padrão. Isso torna o PHP vulnerável ao ataque Marvin, a menos que seja usado com uma versão do OpenSSL que inclua alterações específicas. As alterações fazem parte do OpenSSL 3.2 e foram portadas para versões estáveis de várias distribuições Linux e compilações do PHP para Windows.
Recomendações
Para versões do PHP anteriores à 8.1.29, atualize para a versão 8.1.29 ou posterior para incluir os patches do OpenSSL que corrigem a vulnerabilidade.
Para versões do PHP anteriores à 8.2.20, atualize para a versão 8.2.20 ou posterior para incluir os patches do OpenSSL que corrigem a vulnerabilidade.
Para versões do PHP anteriores à 8.3.8, atualize para a versão 8.3.8 ou posterior para incluir os patches do OpenSSL que corrigem a vulnerabilidade.

Exploit

Correção

Side Channel Attack

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-203

Identificadores relacionados

ALT-PU-2024-13731
ALT-PU-2024-16480
ALT-PU-2024-9191
ALT-PU-2024-9193
AZL-42616
AZL-42628
BDU:2024-06520
BIT-LIBPHP-2024-2408
BIT-PHP-2024-2408
BIT-PHP-MIN-2024-2408
CESA-2023_7877
CVE-2024-2408
GHSA-HH26-4PPW-5864
RHSA-2023:7877
RHSA-2023_7877
USN-6663-1
USN-6663-2
USN-6663-3

Produtos afetados

Alt Linux
Astra Linux
Centos
Debian
Openssl
Php
Red Hat
Red Os
Rocky Linux