CVE-2026-42770

Nome do Software Vulnerável e Versões Afetadas OpenSSL FIPS modules versões 3.0, 3.4, 3.5, 3.6 e 4.0

Description Quando a função EVP PKEY derive set peer() é chamada com uma chave de peer DHX (X9.42), o software não verifica adequadamente a associação ao subgrupo. Especificamente, a verificação Y^q ≡ 1 (mod p) é realizada utilizando o parâmetro q fornecido pelo peer, em vez do parâmetro q da chave local. Embora outros parâmetros de domínio sejam comparados com a chave privada, o valor de q não é comparado.

Isso permite que um peer malicioso apresente uma chave X9.42 com os parâmetros p e g da vítima, um q forjado igual a r (um fator primo pequeno do cofator (p−1)/q local) e um valor público Y de ordem r. Isso ignora as verificações e resulta em um segredo compartilhado com apenas r valores distintos, vazando a chave privada módulo r. Ao repetir este processo para cada fator primo pequeno do cofator e combinar os resultados via Teorema Chinês do Resto (CRT), um invasor pode recuperar a chave privada completa. Isso é conhecido como um ataque de Lim–Lee ou de confinamento de subgrupo pequeno.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.