CVE-2025-11187

Nome do Software Vulnerável e Versões Afetadas Versões do OpenSSL 3.4.0 a 3.6.0

Descrição A vulnerabilidade refere-se à validação inadequada de parâmetros PBMAC1 dentro de arquivos PKCS#12. Especificamente, os parâmetros salt e keylength do PBKDF2 são usados sem validação suficiente durante a verificação do MAC. Se o valor de keylength exceder o tamanho de um buffer de pilha fixo (64 bytes), pode ocorrer um estouro de buffer baseado em pilha. Além disso, se o parâmetro salt não for do tipo OCTET STRING, pode levar a uma desreferência de ponteiro inválido ou NULL. A exploração requer o processamento de um arquivo PKCS#12 criado maliciosamente. Isso pode resultar em uma negação de serviço (DoS) devido a falhas na aplicação e, potencialmente, permitir a execução de código, dependendo das mitigações da plataforma. Os módulos FIPS nas versões 3.6, 3.5 e 3.4 não são afetados, pois o processamento PKCS#12 está fora do limite do módulo FIPS. A vulnerabilidade é acionada ao verificar um arquivo PKCS#12 que usa PBMAC1 para o MAC. Atacantes podem entregar um arquivo .p12/.pfx malicioso a sistemas que importam ou validam arquivos PKCS#12 de fontes externas.

Recomendações Atualize para a versão 3.4.1, 3.5.1 ou 3.6.1 do OpenSSL ou posterior. Restrinja ou desative recursos de importação/upload de PKCS#12 onde for viável. Adicione controles de validação rigorosos, incluindo limites de tamanho de arquivo e imposição de tipo de conteúdo. Isole a análise de PKCS#12 em um processo em sandbox ou auxiliar. Monitore falhas ou falhas de segmentação em componentes de manipulação de certificados e padrões de erro do OpenSSL relacionados à verificação de PKCS#12. Identifique todos os serviços que analisam arquivos .p12/.pfx.