CVE-2026-32144

Nome do Software Vulnerável e Versões Afetadas Erlang OTP versões 27.0 até 28.4.2 e 27.3.4.10 public key versões 1.16 até 1.20.3 e 1.17.1.2 ssl versões 11.2 até 11.5.4 e 11.2.12.7

Descrição Existe uma falha no public key (módulo pubkey ocsp) do Erlang OTP relacionada à validação inadequada de certificados. Especificamente, o processo de validação da resposta OCSP não verifica a assinatura criptográfica dos certificados de respondedores designados pela CA, confiando apenas na correspondência do nome do emissor e no uso estendido OCSPSigning. Isso permite que um invasor falsifique respostas OCSP, marcando potencialmente certificados revogados como válidos. Isso afeta os clientes SSL/TLS que usam OCSP stapling e aplicativos que usam diretamente a API public key:pkix ocsp validate/5. O código vulnerável está localizado nos arquivos lib/public key/src/pubkey ocsp.erl e nas rotinas de programa pubkey ocsp:is authorized responder/3.

Recomendações Para usuários SSL: Não habilite a configuração de validação OCSP (o padrão atual é {stapling, no staple}) Use a verificação de revogação baseada em CRL definindo a opção SSL {crl check, true} em vez disso

Para aplicativos que usam public key:pkix ocsp validate/5 diretamente: Passe a opção {is trusted responder fun, Fun} com uma função que valide os certificados de respondedores confiáveis Restrinja o acesso do respondedor OCSP a endpoints confiáveis por meio de controles de rede