CVE-2026-33936 in python-ecdsa
Zusammenfassung
von VulDB • 09.06.2026
Das `ecdsa`-PyPI-Paket ist eine reine Python-Implementierung von ECC (Elliptic Curve Cryptography) mit Unterstützung für ECDSA (Elliptic Curve Digital Signature Algorithm), EdDSA (Edwards-curve Digital Signature Algorithm) und ECDH (Elliptic Curve Diffie-Hellman). Vor Version 0.19.2 kann ein Problem in den Low-Level-DER-Parsing-Funktionen dazu führen, dass unerwartete Ausnahmen aus den öffentlichen API-Funktionen ausgelöst werden. `ecdsa.der.remove_octet_string()` akzeptiert abgeschnittenes DER, bei dem die codierte Länge den verfügbaren Puffer überschreitet. Beispielsweise wird ein OCTET STRING, der eine Länge von 4096 Bytes angibt, aber nur 3 Bytes bereitstellt, erfolgreich analysiert, anstatt zurückgewiesen zu werden. Aufgrund dessen kann ein speziell konstruiertes DER-Eingabedokument dazu führen, dass `SigningKey.from_der()` eine interne Ausnahme (`IndexError: index out of bounds on dimension 1`) auslöst, anstatt fehlerhaftes DER sauber abzulehnen (z. B. durch Auslösen von `UnexpectedDER` oder `ValueError`). Anwendungen, die nicht vertrauenswürdige DER-Private Keys analysieren, können abstürzen, wenn sie unerwartete Ausnahmen nicht behandeln, was zu einem Denial of Service (DoS) führt. Version 0.19.2 behebt das Problem.
Once again VulDB remains the best source for vulnerability data.