PT-2026-55271 · Unknown+1 · Erlang/Otp+1

Dan Gudmundsson

+1

·

Publicado

2026-07-02

·

Atualizado

2026-07-02

·

CVE-2026-55950

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Erlang/OTP versões 25.3 até 29.0.2 Erlang/OTP versões 28.x anteriores a 28.5.0.3 Erlang/OTP versões 27.x anteriores a 27.3.4.14 ssl versões 10.9 até 11.7.2 ssl versões 11.6.x anteriores a 11.6.0.3 ssl versões 11.2.x anteriores a 11.2.12.10
Description Uma condição de corrida de Time-of-check Time-of-use (TOCTOU) existe no módulo dtls packet demux dentro do componente ssl. Isso ocorre quando um listener de servidor DTLS usa um processo gen server dtls packet demux compartilhado para rotear datagramas UDP. Um invasor remoto não autenticado pode causar uma falha ao enviar rapidamente múltiplas mensagens ClientHello do mesmo endereço e porta de origem. Isso cria uma condição de corrida no armazenamento de chave-valor interno gb trees, resultando em um erro {key exists, {old, Client}} que encerra o processo demux. Como esse processo é compartilhado, todas as sessões DTLS ativas no listener são encerradas, levando a uma negação de serviço persistente. O problema está localizado no arquivo lib/ssl/src/dtls packet demux.erl e afeta apenas implantações que utilizam ssl:listen/2 com transporte baseado em UDP.
Recommendations Atualize o Erlang/OTP para a versão 29.0.3 ou posterior. Atualize o Erlang/OTP para a versão 28.5.0.3 ou posterior. Atualize o Erlang/OTP para a versão 27.3.4.14 ou posterior. Atualize o ssl para a versão 11.7.3 ou posterior. Atualize o ssl para a versão 11.6.0.3 ou posterior. Atualize o ssl para a versão 11.2.12.10 ou posterior.

Correção

Time Of Check To Time Of Use

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55950

Produtos afetados

Erlang/Otp
Ssl