CVE-2025-69418

Nome do Software Vulnerável e Versões Afetadas Versões do OpenSSL 1.1.1 até 3.6 A versão 1.0.2 do OpenSSL não é afetada

Descrição O problema relaciona-se ao tratamento de comprimentos de entrada não alinhados aos blocos ao usar a API OCB de baixo nível diretamente com AES-NI ou outros caminhos de código acelerados por hardware. Especificamente, entradas que não são múltiplos de 16 bytes podem resultar no bloco parcial final permanecendo não criptografado e não autenticado. Isso pode expor os 1-15 bytes finais de uma mensagem em texto simples e contornar a tag de autenticação, potencialmente permitindo que um atacante leia ou adultere esses bytes sem detecção. A vulnerabilidade afeta aplicações que chamam diretamente as funções CRYPTO ocb128 encrypt() ou CRYPTO ocb128 decrypt(). Implementações de nível mais alto, como EVP, não são afetadas. O problema foi avaliado como tendo baixa severidade.

Recomendações Versões do OpenSSL 1.1.1 até 3.6: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.