CVE-2026-27017

Nome do Software Vulnerável e Versões Afetadas Versões do uTLS de 1.6.0 a 1.8.0

Descrição O uTLS é uma versão personalizada do crypto/tls projetada para resistência a fingerprinting durante o processo de handshake. As versões de 1.6.0 a 1.8.0 exibem uma incompatibilidade de fingerprint com o Chrome ao utilizar GREASE ECH devido a inconsistências na seleção de conjuntos de cifras. Especificamente, o Chrome baseia consistentemente suas escolhas de conjuntos de cifras no suporte de hardware — preferindo AES tanto para o conjunto de cifras externo quanto para o ECH, se o AES for preferido. No entanto, a implementação do uTLS define rigidamente uma preferência por AES para conjuntos de cifras externos, mas seleciona aleatoriamente entre AES e ChaCha20 para o ECH. Isso pode resultar em uma combinação de AES para o conjunto externo e ChaCha20 para o ECH, o que não é possível no Chrome. Este problema é limitado ao GREASE ECH e não afeta configurações ECH padrão, pois o uTLS lida corretamente com o primeiro conjunto de cifras válido quando o AES é preferido nesses casos.

Recomendações Atualize para o uTLS versão 1.8.1 ou posterior.