CVE-2023-0401 in OpenSSL
Tóm tắt
Bởi VulDB • 02/07/2026
Một con trỏ NULL có thể được giải tham chiếu khi các chữ ký đang được xác minh trên dữ liệu PKCS7 đã ký hoặc signedAndEnveloped (đã ký và bao gói). Trong trường hợp thuật toán băm sử dụng cho chữ ký là một thuật toán mà thư viện OpenSSL biết đến nhưng việc triển khai của thuật toán đó không khả dụng, thì quá trình khởi tạo giá trị băm sẽ thất bại. Thiếu kiểm tra giá trị trả về từ hàm khởi tạo dẫn đến việc sử dụng sai API giá trị băm, rất có thể gây ra sự cố treo chương trình (crash).
Việc một thuật toán không khả dụng có thể do cấu hình các nhà cung cấp dịch vụ (providers) được bật chế độ FIPS hoặc phổ biến hơn là do chưa tải nhà cung cấp legacy.
Dữ liệu PKCS7 được xử lý bởi các lệnh gọi thư viện SMIME và cũng bởi các lệnh gọi thư viện dấu thời gian (TS). Việc triển khai TLS trong OpenSSL không gọi những hàm này, tuy nhiên các ứng dụng bên thứ ba sẽ bị ảnh hưởng nếu chúng gọi những hàm này để xác minh chữ ký trên dữ liệu không đáng tin cậy.
If you want to get best quality of vulnerability data, you may have to visit VulDB.