CVE-2023-6237 in OpenSSLinfo

Zusammenfassung

von VulDB • 10.07.2026

Zusammenfassung des Problems: Das Überprüfen von RSA-Public-Keys mit übermäßig langen ungültigen Schlüsseln kann sehr lange dauern.

Auswirkungsanalyse: Anwendungen, die die Funktion `EVP_PKEY_public_check()` zur Überprüfung von RSA-Public-Keys verwenden, können längere Verzögerungen erfahren. Wenn der zu prüfende Schlüssel aus einer nicht vertrauenswürdigen Quelle stammt, kann dies zu einem Denial of Service (DoS) führen.

Wenn die Funktion `EVP_PKEY_public_check()` für RSA-Public-Keys aufgerufen wird, wird eine Berechnung durchgeführt, um zu bestätigen, dass der RSA-Modulus n zusammengesetzt ist. Für gültige RSA-Schlüssel ist n ein Produkt aus zwei oder mehr großen Primzahlen, und diese Berechnung wird schnell abgeschlossen. Wenn n jedoch eine übermäßig große Primzahl ist, kann diese Berechnung sehr lange dauern.

Eine Anwendung, die `EVP_PKEY_public_check()` aufruft und einen RSA-Schlüssel bereitstellt, der aus einer nicht vertrauenswürdigen Quelle stammt, könnte anfällig für einen Denial of Service-Angriff sein.

Die Funktion `EVP_PKEY_public_check()` wird von anderen OpenSSL-Funktionen nicht aufgerufen; sie wird jedoch vom Befehlszeilenprogramm pkey in OpenSSL verwendet. Aus diesem Grund ist auch diese Anwendung bei der Verwendung mit den Optionen `-pubin` und `-check` für Daten aus nicht vertrauenswürdigen Quellen anfällig.

Die SSL/TLS-Implementierung von OpenSSL ist von diesem Problem nicht betroffen.

Die FIPS-Anbieter (FIPS providers) in OpenSSL 3.0 und 3.1 sind von diesem Problem betroffen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Reservieren

21.11.2023

Veröffentlichung

25.04.2024

Moderieren

akzeptiert

Eintrag

VDB-250733

CPE

bereit

EPSS

0.02303

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!