CVE-2025-9231

Nome do Software Vulnerável e Versões Afetadas Versões do OpenSSL anteriores a 3.0.17-1~deb12u3 Versões do OpenSSL anteriores a 3.5.1-1+deb13u1 Versões do OpenSSL anteriores a 3.5.4 Versões do OpenSSL anteriores a 3.4.3 Versões do OpenSSL anteriores a 3.3.5 Versões do OpenSSL anteriores a 3.2.6

Descrição Existe um canal lateral de temporização na implementação do algoritmo SM2 em plataformas ARM de 64 bits. Este problema poderia potencialmente permitir que um atacante remoto recuperasse a chave privada através de medições precisas de temporização. Embora a recuperação remota de chaves através de uma rede não tenha sido demonstrada, medições de temporização revelaram um sinal de temporização que pode possibilitar tal ataque. A vulnerabilidade é considerada um problema de severidade moderada, particularmente em cenários onde o suporte para certificados SM2 é adicionado via um provedor personalizado. Os módulos FIPS nas versões 3.0, 3.1, 3.2, 3.3, 3.4 e 3.5 do OpenSSL não são afetados, pois o SM2 não é um algoritmo aprovado.

Recomendações Atualize o OpenSSL para a versão 3.0.17-1~deb12u3 ou posterior. Atualize o OpenSSL para a versão 3.5.1-1+deb13u1 ou posterior. Atualize o OpenSSL para a versão 3.5.4 ou posterior. Atualize o OpenSSL para a versão 3.4.3 ou posterior. Atualize o OpenSSL para a versão 3.3.5 ou posterior. Atualize o OpenSSL para a versão 3.2.6 ou posterior.