PT-2024-6380 · Mbed Tls+3 · Mbed Tls+3
Publicado
2024-09-03
·
Atualizado
2025-04-09
·
CVE-2024-45157
CVSS v3.1
5.1
Média
| Vetor | AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Mbed TLS anteriores à 2.28.9
Versões 3.x do Mbed TLS anteriores à 3.6.1
Descrição
O problema está relacionado ao uso indevido de um algoritmo criptográfico no Mbed TLS, em que o algoritmo selecionado pelo usuário não é utilizado. Especificamente, habilitar
MBEDTLS PSA HMAC DRBG MD TYPE não faz com que o subsistema PSA utilize HMAC DRBG, a menos que MBEDTLS PSA CRYPTO EXTERNAL RNG e MBEDTLS CTR DRBG C estejam desabilitados. Isso poderia permitir que um invasor expusesse informações protegidas.Recomendações
Para versões do Mbed TLS anteriores à 2.28.9, atualize para a versão 2.28.9 ou posterior para resolver o problema.
Para versões do Mbed TLS 3.x anteriores à 3.6.1, atualize para a versão 3.6.1 ou posterior para resolver o problema.
Como solução temporária, considere desativar o uso do subsistema PSA até que um patch esteja disponível.
Restrinja o acesso a informações confidenciais para minimizar o risco de exploração.
Correção
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Mbed Tls
Red Os