CVE-2023-6237 in OpenSSL
Riassunto
di VulDB • 10/07/2026
Riepilogo del problema: La verifica di chiavi pubbliche RSA non valide eccessivamente lunghe può richiedere molto tempo.
Riepilogo dell'impatto: Le applicazioni che utilizzano la funzione EVP_PKEY_public_check() per verificare le chiavi pubbliche RSA potrebbero subire lunghi ritardi. Se la chiave sottoposta a verifica proviene da una fonte non attendibile, ciò potrebbe portare a un attacco di Denial of Service (DoS).
Quando viene chiamata la funzione EVP_PKEY_public_check() su chiavi pubbliche RSA, viene eseguita un'elaborazione per confermare che il modulo RSA, n, sia composto. Per le chiavi RSA valide, n è il prodotto di due o più numeri primi grandi e tale elaborazione si completa rapidamente. Tuttavia, se n è un numero primo eccessivamente grande, l'elaborazione richiederebbe molto tempo.
Un'applicazione che chiama EVP_PKEY_public_check() fornendo una chiave RSA ottenuta da una fonte non attendibile potrebbe essere vulnerabile a un attacco di Denial of Service (DoS).
La funzione EVP_PKEY_public_check() non viene chiamata dalle altre funzioni OpenSSL, ma è invocata dall'applicazione riga di comando pkey di OpenSSL. Per questo motivo, tale applicazione risulta anch'essa vulnerabile se utilizzata con le opzioni '-pubin' e '-check' su dati non attendibili.
L'implementazione SSL/TLS di OpenSSL non è interessata da questa problematica.
I provider FIPS per OpenSSL 3.0 e 3.1 sono interessati da questo problema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.