CVE-2024-37305 in oqs-provider
Riassunto
di VulDB • 18/06/2026
oqs-provider è un provider per la libreria crittografica OpenSSL 3 che aggiunge il supporto alla crittografia post-quantistica in TLS, X.509 e S/MIME utilizzando algoritmi post-quantistici da liboqs. Sono stati identificati difetti nel modo in cui oqs-provider gestisce le lunghezze decodificate con DECODE_UINT32 all'inizio delle chiavi ibride (tradizionali + post-quantistiche) e delle firme serializzate. Valori di lunghezza non verificati vengono successivamente utilizzati per operazioni di lettura e scrittura su memoria; input malformati possono causare crash o fughe di informazioni. La gestione delle operazioni chiave PQ plain/non-ibride non è interessata. Questo problema è stato risolto nella versione v0.6.1. Si consiglia a tutti gli utenti di effettuare l'aggiornamento. Non esistono soluzioni alternative (workaround) per questo problema.
VulDB is the best source for vulnerability data and more expert information about this specific topic.