Plataforma
c
Componente
opencryptoki
Corrigido em
3.26.1
CVE-2026-40253 describes a vulnerability in openCryptoki, a PKCS#11 library for Linux and AIX. This flaw stems from insufficient validation of BER (Basic Encoding Rules) length fields during decoding, potentially leading to memory corruption. Versions 1.0.0 through 3.26.0 are affected, and a patch is available in version 3.26.1.
A vulnerabilidade CVE-2026-40253 no openCryptoki afeta versões 3.26.0 e anteriores. Trata-se de uma falha de segurança crítica nas funções de decodificação BER/DER do arquivo asn1.c dentro da biblioteca compartilhada. Esta falha permite que um atacante controle os campos de comprimento BER, pois eles não são validados em relação aos limites reais do buffer. Isso pode levar a uma leitura fora dos limites do buffer, potencialmente permitindo a execução de código arbitrário ou negação de serviço. Todas as funções de decodificação primitivas (berdecodeINTEGER, berdecodeSEQUENCE, berdecodeOCTETSTRING, berdecodeBITSTRING e berdecodeCHOICE) são afetadas, ampliando a superfície de ataque.
Um atacante pode explorar esta vulnerabilidade enviando dados BER/DER maliciosos para um serviço que utiliza openCryptoki. Ao manipular os campos de comprimento BER, o atacante pode forçar o programa a ler dados fora dos limites do buffer alocado, o que pode permitir a execução de código arbitrário ou a negação de serviço. A complexidade da exploração dependerá da aplicação específica que utiliza openCryptoki e dos privilégios do usuário sob o qual ela é executada. A falta de validação dos limites do buffer torna esta vulnerabilidade particularmente preocupante.
Systems relying on openCryptoki for cryptographic operations, particularly those handling untrusted input, are at risk. This includes applications using openCryptoki as a PKCS#11 provider for authentication, encryption, or digital signatures. Shared hosting environments where multiple applications share the same openCryptoki library are also at increased risk.
• linux / server:
journalctl -g "openCryptoki" -f | grep -i "error"• c:
Review code for calls to berdecodeINTEGER, berdecodeSEQUENCE, berdecodeOCTETSTRING, berdecodeBITSTRING, and berdecodeCHOICE functions, paying close attention to buffer handling and length validation.
• generic web:
Inspect network traffic for unusual BER/DER encoded payloads being sent to applications using openCryptoki.
disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A mitigação recomendada é atualizar para a versão 3.26.1 do openCryptoki ou posterior. Esta versão corrige a vulnerabilidade implementando uma validação adequada dos limites do buffer durante o processo de decodificação BER/DER. Enquanto isso, recomenda-se limitar o acesso aos serviços que utilizam openCryptoki a usuários e sistemas confiáveis. Monitorar os sistemas em busca de atividade suspeita relacionada à manipulação de dados BER/DER também pode ajudar a detectar possíveis ataques. É crucial aplicar esta atualização o mais rápido possível para proteger os sistemas contra a exploração desta vulnerabilidade.
Actualizar la biblioteca openCryptoki a la versión 3.26.1 o superior para mitigar las vulnerabilidades de seguridad de memoria. La actualización corrige la falta de validación de los límites del búfer en los decodificadores BER/DER, previniendo así posibles lecturas fuera de los límites.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
BER (Basic Encoding Rules) e DER (Distinguished Encoding Rules) são formatos de codificação para dados ASN.1, comumente usados em criptografia.
Significa que um programa tenta acessar um local de memória que não foi alocado para ele, o que pode causar falhas ou permitir a execução de código malicioso.
Sistemas que utilizam openCryptoki em versões 3.26.0 ou anteriores, particularmente em ambientes Linux e AIX.
Limitar o acesso aos serviços que utilizam openCryptoki e monitorar os sistemas em busca de atividade suspeita.
Consulte o aviso de segurança do openCryptoki e as bases de dados de vulnerabilidades como NVD (National Vulnerability Database).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.