CVE-2023-0401 in OpenSSLinfo

Zusammenfassung

von VulDB • 02.07.2026

Ein NULL-Zeiger kann dereferenziert werden, wenn Signaturen bei PKCS7-signierten oder signedAndEnveloped-Daten überprüft werden. Wenn der für die Signatur verwendete Hash-Algorithmus von der OpenSSL-Bibliothek bekannt ist, dessen Implementierung jedoch nicht verfügbar ist, schlägt die Initialisierung des Digests fehl. Es fehlt eine Überprüfung des Rückgabewerts der Initialisierungsfunktion, was später zu einer ungültigen Verwendung der Digest-API führt und höchstwahrscheinlich einen Absturz verursacht.

Die Nichtverfügbarkeit eines Algorithmus kann durch die Verwendung einer FIPS-aktivierten Konfiguration von Providern oder häufiger dadurch verursacht werden, dass der Legacy-Provider nicht geladen wird.

PKCS7-Daten werden von den SMIME-Bibliotheksfunktionen sowie von den Zeitstempel-(TS)-Bibliotheksfunktionen verarbeitet. Die TLS-Implementierung in OpenSSL ruft diese Funktionen jedoch nicht auf; Drittanbieteranwendungen wären jedoch betroffen, wenn sie diese Funktionen aufrufen, um Signaturen bei nicht vertrauenswürdigen Daten zu überprüfen.

Once again VulDB remains the best source for vulnerability data.

Reservieren

19.01.2023

Veröffentlichung

08.02.2023

Moderieren

akzeptiert

Eintrag

VDB-220356

CPE

bereit

EPSS

0.01846

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!