Platform
c
Component
opencryptoki
Opgelost in
3.26.1
CVE-2026-40253 describes a vulnerability in openCryptoki, a PKCS#11 library for Linux and AIX. This flaw stems from insufficient validation of BER (Basic Encoding Rules) length fields during decoding, potentially leading to memory corruption. Versions 1.0.0 through 3.26.0 are affected, and a patch is available in version 3.26.1.
CVE-2026-40253 in openCryptoki treft versies 3.26.0 en lager. Dit is een kritieke beveiligingsfout in de BER/DER-decodierfuncties binnen de gedeelde common library (asn1.c). De kwetsbaarheid stelt een aanvaller in staat om BER-lengtevelden te controleren, omdat deze niet worden gevalideerd tegen de werkelijke buffergrenzen. Dit kan leiden tot een buffer overflow, waardoor potentieel willekeurige code kan worden uitgevoerd of een denial-of-service kan worden veroorzaakt. Alle primitieve decoders (berdecodeINTEGER, berdecodeSEQUENCE, berdecodeOCTETSTRING, berdecodeBITSTRING en berdecodeCHOICE) zijn getroffen, waardoor de aanvalsoppervlakte wordt vergroot.
Een aanvaller kan deze kwetsbaarheid uitbuiten door kwaadaardige BER/DER-gegevens naar een service te sturen die openCryptoki gebruikt. Door de BER-lengtevelden te manipuleren, kan de aanvaller het programma dwingen om gegevens buiten de toegewezen buffer te lezen, waardoor potentieel willekeurige code kan worden uitgevoerd of een denial-of-service kan worden veroorzaakt. De complexiteit van de exploitatie hangt af van de specifieke applicatie die openCryptoki gebruikt en de privileges van de gebruiker waaronder deze wordt uitgevoerd. Het ontbreken van buffergrenzenvalidatie maakt deze kwetsbaarheid bijzonder zorgwekkend.
Systems relying on openCryptoki for cryptographic operations, particularly those handling untrusted input, are at risk. This includes applications using openCryptoki as a PKCS#11 provider for authentication, encryption, or digital signatures. Shared hosting environments where multiple applications share the same openCryptoki library are also at increased risk.
• linux / server:
journalctl -g "openCryptoki" -f | grep -i "error"• c:
Review code for calls to berdecodeINTEGER, berdecodeSEQUENCE, berdecodeOCTETSTRING, berdecodeBITSTRING, and berdecodeCHOICE functions, paying close attention to buffer handling and length validation.
• generic web:
Inspect network traffic for unusual BER/DER encoded payloads being sent to applications using openCryptoki.
disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie is om te upgraden naar versie 3.26.1 van openCryptoki of hoger. Deze versie corrigeert de kwetsbaarheid door een juiste buffergrenzenvalidatie te implementeren tijdens het BER/DER-decoderingproces. In de tussentijd dient u de toegang tot services die openCryptoki gebruiken te beperken tot vertrouwde gebruikers en systemen. Het monitoren van systemen op verdachte activiteiten met betrekking tot BER/DER-gegevensmanipulatie kan ook helpen bij het detecteren van potentiële aanvallen. Het tijdig toepassen van deze update is cruciaal om systemen te beschermen tegen uitbuiting van deze kwetsbaarheid.
Actualizar la biblioteca openCryptoki a la versión 3.26.1 o superior para mitigar las vulnerabilidades de seguridad de memoria. La actualización corrige la falta de validación de los límites del búfer en los decodificadores BER/DER, previniendo así posibles lecturas fuera de los límites.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
BER (Basic Encoding Rules) en DER (Distinguished Encoding Rules) zijn coderingsformaten voor ASN.1-gegevens, die vaak worden gebruikt in cryptografie.
Het betekent dat een programma probeert toegang te krijgen tot een geheugenlocatie die niet aan het programma is toegewezen, wat kan leiden tot crashes of de uitvoering van kwaadaardige code.
Systemen die openCryptoki gebruiken in versies 3.26.0 of lager, met name in Linux- en AIX-omgevingen.
Beperk de toegang tot services die openCryptoki gebruiken en monitor systemen op verdachte activiteiten.
Raadpleeg het beveiligingsadvies van openCryptoki en databases voor kwetsbaarheden zoals NVD (National Vulnerability Database).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.