CVE-2026-1677

Nome do Software Vulnerável e Versões Afetadas Zephyr (versões afetadas não especificadas)

Descrição Sockets criados com IPPROTO TLS 1 3 podem negociar uma conexão TLS 1.2 se ambas as versões do TLS estiverem habilitadas no Kconfig. Isso ocorre porque a seleção de protocolo no nível do socket não é propagada para o mbedTLS, como por meio da função mbedtls ssl conf min tls version. Consequentemente, o ClientHello anuncia ambas as versões, permitindo que um peer estabeleça uma conexão TLS 1.2. Aplicações que esperam que o IPPROTO TLS 1 3 force o TLS 1.3 podem usar silenciosamente o TLS 1.2, permanecendo expostas a fraquezas específicas do TLS 1.2.

Recomendações Restrinja a opção de socket TLS CIPHERSUITE LIST apenas para suítes de cifras TLS 1.3 como uma solução paliativa temporária. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.