प्लेटफ़ॉर्म
cpp
घटक
botan
में ठीक किया गया
2.3.1
CVE-2026-32877, Botan नामक C++ क्रिप्टोग्राफी लाइब्रेरी में पाई गई एक भेद्यता है। SM2 डिक्रिप्शन के दौरान, प्रमाणीकरण कोड मान (C3) की जाँच करने वाला कोड, तुलना से पहले अपेक्षित लंबाई की जाँच करने में विफल रहा। एक अमान्य सिफरटेक्स्ट 31 बाइट्स तक के हीप ओवर-रीड का कारण बन सकता है, जिसके परिणामस्वरूप क्रैश या संभावित रूप से अन्य अपरिभाषित व्यवहार हो सकते हैं। यह भेद्यता वर्जन 2.3.0 से पहले के वर्जन 3.11.0 को प्रभावित करती है और इसे वर्जन 3.11.0 में ठीक कर दिया गया है।
CVE-2026-32877 Botan क्रिप्टोग्राफी लाइब्रेरी के 2.3.0 से 3.10.x तक के संस्करणों को प्रभावित करता है। SM2 डिक्रिप्शन प्रक्रिया के दौरान, प्रमाणीकरण कोड (C3) मान की जांच के लिए जिम्मेदार कोड तुलना करने से पहले एन्कोडेड मान की अपेक्षित लंबाई को सत्यापित नहीं करता है। एक दुर्भावनापूर्ण साइफरटेक्स्ट से अधिकतम 31 बाइट्स का हीप ओवररीड हो सकता है, जिससे एप्लिकेशन क्रैश या अन्य अप्रत्याशित व्यवहार हो सकता है। यह भेद्यता एक हमलावर को संवेदनशील जानकारी प्राप्त करने या मनमाना कोड निष्पादित करने की अनुमति दे सकती है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को संसाधित किए जा रहे SM2 साइफरटेक्स्ट को नियंत्रित करने की आवश्यकता होती है। एक विशेष रूप से तैयार किया गया साइफरटेक्स्ट को डिक्रिप्शन प्रक्रिया के दौरान हीप ओवररीड को ट्रिगर करने के लिए डिज़ाइन किया जा सकता है। शोषण की कठिनाई हमलावर की साइफरटेक्स्ट को प्रभावित करने की क्षमता और संरक्षित डेटा की संवेदनशीलता पर निर्भर करती है। सार्वजनिक शोषण की कोई रिपोर्ट नहीं है, लेकिन भेद्यता की गंभीरता तत्काल ध्यान और सुधार की मांग करती है।
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए अनुशंसित शमन Botan को संस्करण 3.11.0 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो तुलना करने से पहले एन्कोडेड मान की लंबाई को सही ढंग से सत्यापित करता है, जिससे हीप ओवररीड को रोका जा सकता है। उपयोगकर्ताओं को हमले के जोखिम को कम करने के लिए जल्द से जल्द इस अपडेट को लागू करने की दृढ़ता से सलाह दी जाती है। इसके अतिरिक्त, एप्लिकेशन निर्भरता की जांच करें ताकि यह सुनिश्चित हो सके कि सभी लाइब्रेरी नवीनतम हैं और ज्ञात भेद्यताओं से सुरक्षित हैं। इनपुट सत्यापन और अन्य रक्षात्मक कोडिंग प्रथाओं को लागू करने पर विचार करें।
Actualice la biblioteca Botan a la versión 3.11.0 o superior. Esto corregirá la vulnerabilidad de lectura fuera de límites en el proceso de descifrado SM2. La actualización asegura que la longitud del valor del código de autenticación (C3) se verifique correctamente antes de la comparación, evitando así la posible sobrelectura del heap.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
2.3.0 से 3.10.x तक के Botan संस्करण इस भेद्यता से प्रभावित हैं।
आप अपने प्रोजेक्ट के दस्तावेज़ों से परामर्श करके या निर्भरता प्रबंधन उपकरणों का उपयोग करके अपने Botan संस्करण की जांच कर सकते हैं।
अगर आप तुरंत अपग्रेड नहीं कर सकते हैं, तो इनपुट सत्यापन और लाइब्रेरी के एक्सपोजर को सीमित करने जैसे अतिरिक्त शमन उपायों को लागू करने पर विचार करें।
कुछ स्थैतिक और गतिशील सुरक्षा विश्लेषण उपकरण इस भेद्यता का पता लगाने में सक्षम हो सकते हैं। अधिक जानकारी के लिए अपने सुरक्षा उपकरण के दस्तावेज़ देखें।
SM2 एक सार्वजनिक-कुंजी क्रिप्टोग्राफी एल्गोरिथ्म है जिसे चीन में विकसित किया गया है और डिजिटल हस्ताक्षर और एन्क्रिप्शन के लिए उपयोग किया जाता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।