V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-69418
CVE
Средний

Резюме выпуска: При использовании низкоуровневого OCB API непосредственно с AES-NI или<br>другими путями с аппаратным ускорением кода входн…

CVSS
4.0
Средний
EPSS
0.00
p1
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Резюме выпуска: При использовании низкоуровневого OCB API непосредственно с AES-NI или<br>другими путями с аппаратным ускорением кода входные данные, длина которых не является кратной<br> из 16 байтов, могут оставлять окончательный частичный блок незашифрованным и неаутентифицированным.<br><br>Импактическое резюме: Запаздывающие 1-15 байтов сообщения могут быть выставлены в <br>cleartext на шифровании и не покрываются тегом аутентификации,<br>эти байты без обнаружения.<br><br>Низкоуровневые OCB шифруют и расшифровывают процедуры в аппаратном обеспечении, ускоренном пути, преобразованном в полночисленных 16-байтовых блоках, но не продвигают вход/вывод<br>pointers. Последующий код обработки хвоста затем работает на оригинальных указывающих<br>базы, эффективно перерабатывая начало буфера, оставляя фактические задние байты необработанными. Проверка подлинности также исключает истинные хвостовые байты.<br><br>Однако типичные потребители OpenSSL, использующие EVP, не затрагиваются, потому что EVP более высокого уровня и провайдер OCB реализуют ресурсы, так что полные<br>блоки и частичные блоки обрабатываются отдельными вызовами, избегая проблемного пути кода. Кроме того, TLS не использует шифрюлюиды OCB.<br>Уязвимость влияет только на приложения, которые называют низкоуровневые функции<br>CRYPTO_ocb128_encrypt() или CRYPTO_ocb128_decrypt() непосредственно с длинами неблоков в одном вызове на аппаратно-ускоренных сборках.<br>По этим причинам проблема была оценена как низкая тяжесть.<br>3.3, 3.2, 3.1 и 3.0 не затрагивается <br>, поскольку режим OCB не является одобренным FIPS алгоритмом.<br><br>OpenSSL 3.6, 3.5, 3.4, 3.3, 3.0 и 1.1.1 уязвимы для этой проблемы.<br><br>OpenSSL 1.0.2 не затрагивается этой проблемой.

Теги · CWE
CWE-325
CAPEC-68
Затронутые продукты
Openssl 1.1.1–1.1.1zeOpenssl 3.0.0–3.0.19Openssl 3.3.0–3.3.6Openssl 3.4.0–3.4.4Openssl 3.5.0–3.5.5Openssl 3.6.0–3.6.1
Вектор CVSS
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: L
Локальная (L)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.001 · p1
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-68 · CWE-325
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
edk2Отслеживается
nodejsОтслеживается
nodejsОтслеживается
nodejsОтслеживается
nodejsОтслеживается
opensslОтслеживается
opensslОтслеживается
opensslОтслеживается
opensslОтслеживается
opensslОтслеживается
opensslОтслеживается
openssl*Отслеживается
libcrypto1.1Отслеживается
libcrypto1.1Отслеживается
libcrypto1.1Отслеживается
libcrypto1.1Отслеживается
libcrypto1.1Отслеживается
libssl-develОтслеживается
libssl-develОтслеживается
Показаны первые 20 из 47