CVE-2024-37305 in oqs-provider
Sumário
de VulDB • 18/06/2026
oqs-provider é um provedor para a biblioteca de criptografia OpenSSL 3 que adiciona suporte à criptografia pós-quântica em TLS, X.509 e S/MIME usando algoritmos pós-quânticos do liboqs. Foram identificados falhas na forma como o oqs-provider lida com os comprimentos decodificados por DECODE_UINT32 no início de chaves híbridas (tradicional + pós-quântica) e assinaturas serializadas. Valores de comprimento não verificados são posteriormente utilizados para leituras e escritas em memória; entradas malformadas podem levar a falhas ou vazamento de informações. O tratamento da operação de chave PQ pura/não-híbrida não é afetado. Este problema foi corrigido na versão v0.6.1. Recomenda-se que todos os utilizadores atualizem para esta versão. Não existem soluções alternativas (workarounds) para este problema.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.