Plateforme
c
Composant
opencryptoki
Corrigé dans
3.26.1
CVE-2026-40253 describes a vulnerability in openCryptoki, a PKCS#11 library for Linux and AIX. This flaw stems from insufficient validation of BER (Basic Encoding Rules) length fields during decoding, potentially leading to memory corruption. Versions 1.0.0 through 3.26.0 are affected, and a patch is available in version 3.26.1.
La vulnérabilité CVE-2026-40253 dans openCryptoki affecte les versions 3.26.0 et antérieures. Il s'agit d'une faille de sécurité critique dans les fonctions de décodage BER/DER du fichier asn1.c au sein de la bibliothèque partagée. Cette faille permet à un attaquant de contrôler les champs de longueur BER, car ils ne sont pas validés par rapport aux limites réelles du tampon. Cela peut entraîner une lecture en dehors des limites du tampon, permettant potentiellement l'exécution de code arbitraire ou un déni de service. Tous les décodeurs primitifs (berdecodeINTEGER, berdecodeSEQUENCE, berdecodeOCTETSTRING, berdecodeBITSTRING et berdecodeCHOICE) sont affectés, ce qui élargit la surface d'attaque.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des données BER/DER malveillantes à un service qui utilise openCryptoki. En manipulant les champs de longueur BER, l'attaquant peut forcer le programme à lire des données en dehors des limites du tampon alloué, ce qui pourrait permettre l'exécution de code arbitraire ou un déni de service. La complexité de l'exploitation dépendra de l'application spécifique utilisant openCryptoki et des privilèges de l'utilisateur sous lequel elle s'exécute. L'absence de validation des limites du tampon rend cette vulnérabilité particulièrement préoccupante.
Systems relying on openCryptoki for cryptographic operations, particularly those handling untrusted input, are at risk. This includes applications using openCryptoki as a PKCS#11 provider for authentication, encryption, or digital signatures. Shared hosting environments where multiple applications share the same openCryptoki library are also at increased risk.
• linux / server:
journalctl -g "openCryptoki" -f | grep -i "error"• c:
Review code for calls to berdecodeINTEGER, berdecodeSEQUENCE, berdecodeOCTETSTRING, berdecodeBITSTRING, and berdecodeCHOICE functions, paying close attention to buffer handling and length validation.
• generic web:
Inspect network traffic for unusual BER/DER encoded payloads being sent to applications using openCryptoki.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation recommandée est de mettre à niveau vers la version 3.26.1 d'openCryptoki ou ultérieure. Cette version corrige la vulnérabilité en mettant en œuvre une validation appropriée des limites du tampon pendant le processus de décodage BER/DER. En attendant, limitez l'accès aux services utilisant openCryptoki aux utilisateurs et systèmes de confiance. Surveiller les systèmes à la recherche d'activités suspectes liées à la manipulation des données BER/DER peut également aider à détecter les attaques potentielles. Il est crucial d'appliquer cette mise à jour dès que possible pour protéger les systèmes contre l'exploitation de cette vulnérabilité.
Actualizar la biblioteca openCryptoki a la versión 3.26.1 o superior para mitigar las vulnerabilidades de seguridad de memoria. La actualización corrige la falta de validación de los límites del búfer en los decodificadores BER/DER, previniendo así posibles lecturas fuera de los límites.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
BER (Basic Encoding Rules) et DER (Distinguished Encoding Rules) sont des formats de codage pour les données ASN.1, couramment utilisés en cryptographie.
Cela signifie qu'un programme tente d'accéder à un emplacement mémoire qui n'a pas été alloué, ce qui peut provoquer des plantages ou permettre l'exécution de code malveillant.
Les systèmes utilisant openCryptoki dans les versions 3.26.0 ou antérieures, en particulier dans les environnements Linux et AIX.
Limitez l'accès aux services utilisant openCryptoki et surveillez les systèmes à la recherche d'activités suspectes.
Consultez l'avis de sécurité openCryptoki et les bases de données de vulnérabilités telles que NVD (National Vulnerability Database).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.