CVE-2026-42768Резюме выпуска: функции CMS_decrypt и PKCS7_decrypt уязвимы для
Атака в стиле Bleichenbacher, когда злоумышленник может предоставить CMS или
S/MIME сообщает и наблюдайте за кодом ошибки и/или выводом дешифрования.
Резюме удара: атака в стиле Bleichenbacher позволяет злоумышленнику использовать
Уязвимое приложение жертвы как способ расшифровки или подписания сообщений с
Частный ключ жертвы RSA.
Атака возможна в 2 вариантах.
1. API расшифровки (CMS_decrypt(), PKCS7_decrypt()) используется без
предоставление сертификата получателя. В этом случае OpenSSL переносит каждый
KeyTransRecipientInfo (KTRI) без остановки при первом успехе.
Злоумышленник, который является автором сообщения с двумя записями KTRI — первым
заворачивая настоящий CEK под открытый ключ жертвы, второй с
Произвольный зонд шифротекст — получает возможность повторить второй KTRI на
получить действительную PKCS#1 v1.5 прокладку, если код ошибки приложения
доступный.
Это оракул Bleichenbacher (Bleichenbacher, CRYPTO '98): an
адаптивно-выбранный-шифротекстный боковой канал, с которого злоумышленник расшифровывает любой
RSA шифротекст к ключу жертвы или подделка любой подписи PKCS#1 v1.5 под
Это.
2. 2. Когда API расшифровки (CMS_decrypt(), PKCS7_decrypt()) предоставляется с
сертификат получателя, а получатель не найден, случайный
Ключ заменяется.
Злоумышленник, который является автором сообщения и может сравнить как код ошибки, так и
Результат расшифровки, может монтировать оракула Bleichenbacher.
Мы не знаем о каких-либо приложениях, которые предоставляют удаленного злоумышленника
возможность организовать атаку, описанную в этих сценариях. Мы рассматриваем
наличие такого применения очень маловероятно, и по этой причине
CVE оценивается как низкая тяжесть.
Чтобы избежать этих атак, когда используется RSA PKCS#1 v1.5 Ключевой транспорт,
EVP_PKEY_decrypt() будет использовать описанный механизм неявного отторжения
в проекте-irtf-cfrg-rsa-gedance. В предыдущих OpenSSL выпускает неявный
Отказ был явно отключен.
Неявный механизм отказа всегда возвращает открытую ценность.
Симметричный ключ. Этот результат является детерминированным для шифротекста и
Приватный ключ. Длина результата дешифрования может совпадать с
длина ключа симметричного шифра, который использовался для содержания
Шифрование. Если сертификат не предоставлен, последний RecipeientInfo
Изготовление ключа, который выглядит действительным, будет использоваться. Это может привести к получению мусора
Контент на расшифровке. Как правильный способ справиться с этим получатель
сертификат должен быть предоставлен для идентификации конкретной RecipeientInfo для
Расшифровка.
Модули FIPS в 4.0, 3.6, 3.5 и 3.4 не затрагиваются этой проблемой, так как
Обработка CMS и S/MIME происходит за пределами границы модуля OpenSSL FIPS.