PT-2026-55271 · Unknown+1 · Erlang/Otp+1
Dan Gudmundsson
+1
·
Publicado
2026-07-02
·
Atualizado
2026-07-02
·
CVE-2026-55950
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Erlang/OTP versões 25.3 até 29.0.2
Erlang/OTP versões 28.x anteriores a 28.5.0.3
Erlang/OTP versões 27.x anteriores a 27.3.4.14
ssl versões 10.9 até 11.7.2
ssl versões 11.6.x anteriores a 11.6.0.3
ssl versões 11.2.x anteriores a 11.2.12.10
Description
Uma condição de corrida de Time-of-check Time-of-use (TOCTOU) existe no módulo
dtls packet demux dentro do componente ssl. Isso ocorre quando um listener de servidor DTLS usa um processo gen server dtls packet demux compartilhado para rotear datagramas UDP. Um invasor remoto não autenticado pode causar uma falha ao enviar rapidamente múltiplas mensagens ClientHello do mesmo endereço e porta de origem. Isso cria uma condição de corrida no armazenamento de chave-valor interno gb trees, resultando em um erro {key exists, {old, Client}} que encerra o processo demux. Como esse processo é compartilhado, todas as sessões DTLS ativas no listener são encerradas, levando a uma negação de serviço persistente. O problema está localizado no arquivo lib/ssl/src/dtls packet demux.erl e afeta apenas implantações que utilizam ssl:listen/2 com transporte baseado em UDP.Recommendations
Atualize o Erlang/OTP para a versão 29.0.3 ou posterior.
Atualize o Erlang/OTP para a versão 28.5.0.3 ou posterior.
Atualize o Erlang/OTP para a versão 27.3.4.14 ou posterior.
Atualize o ssl para a versão 11.7.3 ou posterior.
Atualize o ssl para a versão 11.6.0.3 ou posterior.
Atualize o ssl para a versão 11.2.12.10 ou posterior.
Correção
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Erlang/Otp
Ssl