CVE-2025-9232

Nome do Software Vulnerável e Versões Afetadas Versões do OpenSSL 3.0.16 a 3.5.0 EDK II (versões afetadas não especificadas)

Descrição Foi identificado um problema no OpenSSL em que uma aplicação que utiliza as funções da API de cliente HTTP pode acionar uma leitura fora dos limites se a variável de ambiente no proxy estiver definida e a parte do host da URL HTTP for um endereço IPv6. Isso pode levar a uma negação de serviço para a aplicação. O código vulnerável foi introduzido nas versões 3.0.16, 3.1.8, 3.2.4, 3.3.3, 3.4.0 e 3.5.0. Os módulos FIPS não são afetados, pois a implementação do cliente HTTP está fora do limite do módulo FIPS. A vulnerabilidade requer que uma URL controlada pelo atacante seja passada para a função do OpenSSL e o usuário deve ter a variável de ambiente no proxy definida. O problema foi avaliado como tendo baixa severidade. As funções da API de cliente HTTP são usadas diretamente por aplicações e também pelas implementações de cliente OCSP e CMP dentro do OpenSSL, embora seja improvável que as URLs usadas por essas implementações sejam controladas por um atacante.

Recomendações Versões do OpenSSL 3.0.16 a 3.0.17-1~deb12u3 Versões do OpenSSL 3.1.8 a 3.5.1-1+deb13u1 Versões do OpenSSL 3.2.4 a 3.5.1-1+deb13u1 Versões do OpenSSL 3.3.3 a 3.5.1-1+deb13u1 Versões do OpenSSL 3.4.0 a 3.5.1-1+deb13u1 Versão do OpenSSL 3.5.0 a 3.5.1-1+deb13u1 Como solução alternativa temporária, considere desabilitar o uso das funções da API de cliente HTTP, se possível. Restrinja o acesso às funções vulneráveis funções da API de cliente HTTP para minimizar o risco de exploração. Evite definir a variável de ambiente no proxy se não for necessário.