Plattform
c
Komponente
opencryptoki
Behoben in
3.26.1
CVE-2026-40253 describes a vulnerability in openCryptoki, a PKCS#11 library for Linux and AIX. This flaw stems from insufficient validation of BER (Basic Encoding Rules) length fields during decoding, potentially leading to memory corruption. Versions 1.0.0 through 3.26.0 are affected, and a patch is available in version 3.26.1.
CVE-2026-40253 in openCryptoki betrifft Versionen 3.26.0 und darunter. Dies ist ein kritischer Sicherheitsfehler in den BER/DER-Dekodierungsfunktionen innerhalb der gemeinsam genutzten Common-Library (asn1.c). Die Schwachstelle ermöglicht es einem Angreifer, BER-Längenfelder zu kontrollieren, da diese nicht anhand der tatsächlichen Puffergrenzen validiert werden. Dies kann zu einem Pufferüberlauf führen, der potenziell die Ausführung von beliebigem Code oder einen Denial-of-Service-Angriff ermöglicht. Alle primitiven Dekodierer (berdecodeINTEGER, berdecodeSEQUENCE, berdecodeOCTETSTRING, berdecodeBITSTRING und berdecodeCHOICE) sind betroffen, was die Angriffsfläche erweitert.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er bösartige BER/DER-Daten an einen Dienst sendet, der openCryptoki verwendet. Durch die Manipulation der BER-Längenfelder kann der Angreifer das Programm zwingen, Daten außerhalb des zugewiesenen Puffers zu lesen, was potenziell die Ausführung von beliebigem Code oder einen Denial-of-Service-Angriff ermöglicht. Die Komplexität der Ausnutzung hängt von der jeweiligen Anwendung ab, die openCryptoki verwendet, und von den Berechtigungen des Benutzers, unter dem sie ausgeführt wird. Das Fehlen einer Validierung der Puffergrenzen macht diese Schwachstelle besonders bedenklich.
Systems relying on openCryptoki for cryptographic operations, particularly those handling untrusted input, are at risk. This includes applications using openCryptoki as a PKCS#11 provider for authentication, encryption, or digital signatures. Shared hosting environments where multiple applications share the same openCryptoki library are also at increased risk.
• linux / server:
journalctl -g "openCryptoki" -f | grep -i "error"• c:
Review code for calls to berdecodeINTEGER, berdecodeSEQUENCE, berdecodeOCTETSTRING, berdecodeBITSTRING, and berdecodeCHOICE functions, paying close attention to buffer handling and length validation.
• generic web:
Inspect network traffic for unusual BER/DER encoded payloads being sent to applications using openCryptoki.
disclosure
Exploit-Status
EPSS
0.01% (2% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Abmilderung ist ein Upgrade auf Version 3.26.1 von openCryptoki oder höher. Diese Version behebt die Schwachstelle, indem sie eine ordnungsgemäße Puffergrenzenvalidierung während des BER/DER-Dekodierungsprozesses implementiert. In der Zwischenzeit sollten Sie den Zugriff auf Dienste, die openCryptoki verwenden, auf vertrauenswürdige Benutzer und Systeme beschränken. Die Überwachung von Systemen auf verdächtige Aktivitäten im Zusammenhang mit der Manipulation von BER/DER-Daten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen. Die zeitnahe Anwendung dieses Updates ist entscheidend, um Systeme vor der Ausnutzung dieser Schwachstelle zu schützen.
Actualizar la biblioteca openCryptoki a la versión 3.26.1 o superior para mitigar las vulnerabilidades de seguridad de memoria. La actualización corrige la falta de validación de los límites del búfer en los decodificadores BER/DER, previniendo así posibles lecturas fuera de los límites.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
BER (Basic Encoding Rules) und DER (Distinguished Encoding Rules) sind Codierungsformate für ASN.1-Daten, die häufig in der Kryptographie verwendet werden.
Es bedeutet, dass ein Programm versucht, auf einen Speicherbereich zuzugreifen, der ihm nicht zugewiesen wurde, was zu Abstürzen oder zur Ausführung von bösartigem Code führen kann.
Systeme, die openCryptoki in Versionen 3.26.0 oder früher verwenden, insbesondere in Linux- und AIX-Umgebungen.
Beschränken Sie den Zugriff auf Dienste, die openCryptoki verwenden, und überwachen Sie die Systeme auf verdächtige Aktivitäten.
Lesen Sie die Sicherheitsmitteilung von openCryptoki und Datenbanken für Schwachstellen wie NVD (National Vulnerability Database).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.