Plataforma
openssl
Componente
openssl
Corrigido em
3.6.2
Uma vulnerabilidade foi descoberta no OpenSSL, especificamente em aplicações que utilizam a criptografia ou descriptografia AES-CFB128 em sistemas com suporte a AVX-512 e VAES. Essa falha permite uma leitura fora dos limites de até 15 bytes ao processar blocos de cifra parciais, potencialmente causando um crash e levando a um Denial of Service se o buffer de entrada terminar em um limite de página de memória e a página seguinte não estiver mapeada. A vulnerabilidade afeta as versões 3.6.0 a 3.6.2 e já foi corrigida na versão 3.6.2.
A vulnerabilidade CVE-2026-28386 no OpenSSL afeta aplicações que utilizam a encriptação ou desencriptação AES-CFB128 em sistemas com suporte a AVX-512 e VAES. Uma leitura fora dos limites de até 15 bytes pode ser acionada ao processar blocos de encriptação parciais. Embora não haja divulgação de informações, pois os bytes lidos fora dos limites não são escritos na saída, esta vulnerabilidade pode levar a um crash da aplicação sob condições específicas. O risco é aumentado se o buffer de entrada terminar num limite de página de memória e a página subsequente não estiver mapeada, o que pode resultar numa Negação de Serviço (DoS). A gravidade depende da probabilidade destas condições e do impacto na disponibilidade do serviço.
A exploração da CVE-2026-28386 requer condições específicas: utilização de AES-CFB128, a presença de AVX-512 e VAES, e o buffer de entrada terminando num limite de página de memória com uma página subsequente não mapeada. Isto torna a exploração menos provável do que com vulnerabilidades mais gerais, mas ainda representa um risco potencial. Os atacantes podem tentar manipular a entrada para forçar a condição de alinhamento e acionar um crash da aplicação. A complexidade da exploração limita o seu âmbito, mas não elimina a necessidade da correção.
Status do Exploit
EPSS
0.07% (percentil 21%)
A solução para mitigar a CVE-2026-28386 é atualizar para o OpenSSL versão 3.6.2 ou superior. Esta versão inclui uma correção que impede a leitura fora dos limites. Recomenda-se aplicar esta atualização o mais rápido possível, especialmente em ambientes críticos. É também aconselhável rever as configurações de segurança do OpenSSL e as dependências para garantir que as versões atualizadas e as melhores práticas de segurança estão implementadas. A monitorização contínua dos sistemas para potenciais exploits é uma medida preventiva importante.
Actualice a OpenSSL versión 3.6.2 o superior para mitigar la vulnerabilidad. Esta actualización corrige un error de lectura fuera de límites en el modo AES-CFB-128 que puede causar una denegación de servicio en sistemas x86-64 con AVX-512 y VAES.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
AES-CFB128 é um modo de operação para o algoritmo de encriptação AES que utiliza um bloco de 128 bits. É um modo de encriptação de blocos utilizado para proteger dados sensíveis.
AVX-512 é um conjunto de extensões de conjunto de instruções para processadores x86 que permite operações vetorizadas em dados de 512 bits. VAES é uma extensão AVX-512 que fornece instruções aceleradas para a encriptação AES.
Verifique a versão do OpenSSL instalada no seu sistema. Se estiver a utilizar uma versão anterior a 3.6.2, é vulnerável. Pode usar o comando openssl version na linha de comandos.
Soluções alternativas temporárias não são recomendadas. Atualizar para a versão corrigida é a melhor opção. Evitar o uso de AES-CFB128 em sistemas vulneráveis pode ser uma opção, mas pode afetar a funcionalidade da aplicação.
Se não puder atualizar imediatamente, monitore os seus sistemas em busca de atividade suspeita e considere implementar medidas de segurança adicionais, como firewalls e sistemas de deteção de intrusos.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.