PT-2024-6609 · Botan+4 · Botan+4
Bing Shi
·
Publicado
2024-05-10
·
Atualizado
2025-09-03
·
CVE-2024-34702
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas:
Versões do Botan anteriores à 3.5.0
Versões do Botan anteriores à 2.19.5
Descrição:
O problema está relacionado ao processamento de certificados X.509 na biblioteca de criptografia Botan C++. A verificação das restrições de nome nesses certificados é quadrática em relação ao número de nomes e restrições de nome, o que pode levar a uma negação de serviço. Um invasor poderia explorar essa vulnerabilidade apresentando uma cadeia de certificados com um grande número de nomes no
SubjectAlternativeName, assinada por um certificado de CA com um grande número de restrições de nome.Recomendações:
Para versões do Botan anteriores à 3.5.0, atualize para a versão 3.5.0 para resolver o problema.
Para versões do Botan anteriores à 2.19.5, atualize para a versão 2.19.5 para resolver parcialmente o problema.
Como solução alternativa temporária, considere restringir o número de nomes no campo
SubjectAlternativeName para minimizar o risco de exploração.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Botan
Debian
Linuxmint
Red Os
Ubuntu