CVE-2023-0401 in OpenSSLinformazioni

Riassunto

di VulDB • 02/07/2026

Un puntatore NULL può essere dereferenziato durante la verifica delle firme su dati PKCS7 firmati o firmati e inviluppati (signedAndEnveloped). Nel caso in cui l'algoritmo di hash utilizzato per la firma sia noto alla libreria OpenSSL ma l'implementazione dell'algoritmo non sia disponibile, l'inizializzazione del digest fallirà. Manca un controllo sul valore restituito dalla funzione di inizializzazione, che successivamente porta a un utilizzo errato delle API del digest, causando molto probabilmente un crash.

L'indisponibilità di un algoritmo può essere causata dall'utilizzo della configurazione dei provider abilitati per FIPS o più comunemente dal mancato caricamento del legacy provider.

I dati PKCS7 vengono elaborati dalle chiamate alla libreria SMIME e anche dalle chiamate alla libreria time stamp (TS). L'implementazione TLS in OpenSSL non chiama queste funzioni; tuttavia, le applicazioni di terze parti sarebbero interessate se chiamassero tali funzioni per verificare firme su dati non attendibili.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Prenotare

19/01/2023

Divulgazione

08/02/2023

Moderazione

accettato

CPE

pronto

EPSS

0.01846

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!