PT-2024-6085 · Botan+6 · Botan+6

Bing Shi

·

Publicado

2024-02-20

·

Atualizado

2026-01-30

·

CVE-2024-34703

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Botan anteriores à 2.19.4 e à 3.3.0
Descrição
O problema está relacionado à análise de certificados X.509 com codificação explícita de parâmetros de curva elíptica. Um invasor pode apresentar um certificado com parâmetros muito grandes, causando computação excessiva quando o parâmetro é verificado para ser primo. Isso pode levar a uma negação de serviço. A prova de conceito utilizou um primo de 16 Kbit para esse fim. O suporte à codificação explícita de parâmetros de curva elíptica está obsoleto no Botan.
Recomendações
Para versões anteriores à 2.19.4, atualize para a versão 2.19.4 ou posterior para corrigir o problema.
Para versões anteriores à 3.3.0, atualize para a versão 3.3.0 ou posterior para corrigir o problema.
Como solução alternativa temporária, considere restringir o uso da codificação explícita de parâmetros de curva elíptica até que uma correção seja aplicada.

Exploit

Correção

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-405CWE-770

Identificadores relacionados

AZL-43708
AZL-44214
BDU:2024-06990
CVE-2024-34703
GHSA-W4G2-7M2H-7XJ7
MGASA-2024-0297
OESA-2024-1923
OESA-2024-1924
OESA-2024-1925
OPENSUSE-SU-2024:0201-1
OPENSUSE-SU-2024:14095-1
OPENSUSE-SU-2024:14188-1
SUSE-SU-2024:2415-1
SUSE-SU-2024_2415-1
USN-7586-1

Produtos afetados

Astra Linux
Botan
Debian
Linuxmint
Red Os
Suse
Ubuntu