CVE-2024-9143

Nome do software vulnerável e versões afetadas:

Versões do OpenSSL anteriores à 3.3.3

Descrição:

O problema decorre do uso de APIs de curva elíptica GF(2^m) de baixo nível com valores explícitos não confiáveis para o polinômio de campo, levando a leituras ou gravações de memória fora dos limites. Isso pode causar uma falha no aplicativo ou, potencialmente, permitir a execução remota de código. No entanto, a probabilidade de um aplicativo vulnerável é baixa, já que a maioria dos protocolos envolvendo criptografia de curva elíptica suporta apenas “curvas nomeadas” ou especifica uma codificação X9.62 de curvas binárias (GF(2^m)) que não podem representar valores de entrada problemáticos. As APIs afetadas incluem EC GROUP new curve GF2m(), EC GROUP new from params() e várias funções de suporte BN GF2m *().

Recomendações:

Para versões anteriores à 3.3.3, atualize para a versão 3.3.3 ou posterior para resolver o problema.

Como solução temporária, considere restringir o uso das funções vulneráveis EC GROUP new curve GF2m() e EC GROUP new from params(), bem como das funções de suporte BN GF2m *(), até que um patch esteja disponível.

Evite usar parâmetros de curva binária explícita “exótica” (GF(2^m)) que possam representar polinômios de campo inválidos com um termo constante zero.