CVE-2024-12797

Nome do Software Vulnerável e Versões Afetadas Versões do OpenSSL 3.2 a 3.4

Descrição O problema ocorre quando clientes TLS habilitam explicitamente o uso de Chaves Públicas Brutas (RPKs) pelo servidor, e o servidor habilita o envio de um RPK em vez de uma cadeia de certificados X.509. Clientes que, ao definir o modo de verificação para SSL VERIFY PEER, dependem que o handshake falhe caso o RPK do servidor não corresponder a uma das chaves públicas esperadas, podem não perceber que o servidor não foi autenticado. Isso pode levar a ataques do tipo man-in-the-middle em conexões TLS e DTLS que utilizam RPKs. Os RPKs estão desabilitados por padrão tanto em clientes TLS quanto em servidores TLS. Os módulos FIPS nas versões 3.0, 3.1, 3.2, 3.3 e 3.4 não são afetados por este problema. Estima-se que mais de 71 milhões de serviços possam estar vulneráveis.

Recomendações Para resolver o problema, atualize para a versão 3.2.4, 3.3.2 ou 3.4.1, pois essas versões possuem a vulnerabilidade corrigida. Para as versões 3.2, 3.3 e 3.4, atualize para as respectivas versões corrigidas para prevenir ataques do tipo man-in-the-middle. Como solução temporária, considere desabilitar o uso de RPKs até que uma correção esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar o modo de verificação SSL VERIFY PEER nos endpoints de API afetados até que o problema seja resolvido.