CVE-2023-6237 in OpenSSLinformazioni

Riassunto

di VulDB • 10/07/2026

Riepilogo del problema: La verifica di chiavi pubbliche RSA non valide eccessivamente lunghe può richiedere molto tempo.

Riepilogo dell'impatto: Le applicazioni che utilizzano la funzione EVP_PKEY_public_check() per verificare le chiavi pubbliche RSA potrebbero subire lunghi ritardi. Se la chiave sottoposta a verifica proviene da una fonte non attendibile, ciò potrebbe portare a un attacco di Denial of Service (DoS).

Quando viene chiamata la funzione EVP_PKEY_public_check() su chiavi pubbliche RSA, viene eseguita un'elaborazione per confermare che il modulo RSA, n, sia composto. Per le chiavi RSA valide, n è il prodotto di due o più numeri primi grandi e tale elaborazione si completa rapidamente. Tuttavia, se n è un numero primo eccessivamente grande, l'elaborazione richiederebbe molto tempo.

Un'applicazione che chiama EVP_PKEY_public_check() fornendo una chiave RSA ottenuta da una fonte non attendibile potrebbe essere vulnerabile a un attacco di Denial of Service (DoS).

La funzione EVP_PKEY_public_check() non viene chiamata dalle altre funzioni OpenSSL, ma è invocata dall'applicazione riga di comando pkey di OpenSSL. Per questo motivo, tale applicazione risulta anch'essa vulnerabile se utilizzata con le opzioni '-pubin' e '-check' su dati non attendibili.

L'implementazione SSL/TLS di OpenSSL non è interessata da questa problematica.

I provider FIPS per OpenSSL 3.0 e 3.1 sono interessati da questo problema.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Fonti

Do you need the next level of professionalism?

Upgrade your account now!