MEDIUMCVE-2026-40253CVSS 6.8

openCryptoki: asn1.c 中 BER/DER 解码器的内存安全漏洞

Q: CVE-2026-40253 是什么 — openCryptoki 中的漏洞？

BER (Basic Encoding Rules) 和 DER (Distinguished Encoding Rules) 是 ASN.1 数据的编码格式，常用于密码学中。

Q: openCryptoki 中的 CVE-2026-40253 是否会影响我？

是指程序尝试访问未为其分配的内存位置，这可能导致崩溃或允许恶意代码执行。

Q: 如何修复 openCryptoki 中的 CVE-2026-40253？

使用 openCryptoki 3.26.0 或更早版本的系统，尤其是在 Linux 和 AIX 环境中。

Q: CVE-2026-40253 是否正在被积极利用？

限制对使用 openCryptoki 的服务的访问，并监控系统是否存在可疑活动。

Q: 在哪里可以找到 openCryptoki 关于 CVE-2026-40253 的官方安全通告？

请参阅 openCryptoki 安全公告以及 NVD (国家漏洞数据库) 等漏洞数据库。

平台

组件

opencryptoki

修复版本

3.26.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-40253 是 openCryptoki 库中的一个安全漏洞，该库是一个 PKCS#11 库，为 Linux 和 AIX 提供工具。由于共享通用库 (asn1.c) 中的 BER/DER 解码函数缺少缓冲区长度参数验证，攻击者可以利用恶意构造的 BER 长度字段触发缓冲区溢出。此漏洞影响所有原始解码器，包括 berdecodeINTEGER、berdecodeSEQUENCE、berdecodeOCTETSTRING、berdecodeBITSTRING 和 berdecodeCHOICE。受影响的版本包括 1.0.0 到 3.26.0，已在 3.26.1 版本中修复。

影响与攻击场景

openCryptoki 的 CVE-2026-40253 漏洞影响 3.26.0 及更早版本。这是一种共享公共库 (asn1.c) 中 BER/DER 解码函数中的关键安全缺陷。此漏洞允许攻击者控制 BER 长度字段，因为它们不会针对实际的缓冲区边界进行验证。这可能导致缓冲区溢出，从而可能导致任意代码执行或拒绝服务。所有原始解码器 (berdecodeINTEGER、berdecodeSEQUENCE、berdecodeOCTETSTRING、berdecodeBITSTRING 和 berdecodeCHOICE) 都受到影响，从而扩大了攻击面。

利用背景

攻击者可以通过向使用 openCryptoki 的服务发送恶意 BER/DER 数据来利用此漏洞。通过操纵 BER 长度字段，攻击者可以强制程序读取分配的缓冲区外部的数据，从而可能导致任意代码执行或拒绝服务。利用的复杂性取决于使用 openCryptoki 的特定应用程序以及执行它的用户的权限。缺乏缓冲区边界验证使此漏洞特别令人担忧。

哪些人处于风险中翻译中…

Systems relying on openCryptoki for cryptographic operations, particularly those handling untrusted input, are at risk. This includes applications using openCryptoki as a PKCS#11 provider for authentication, encryption, or digital signatures. Shared hosting environments where multiple applications share the same openCryptoki library are also at increased risk.

检测步骤翻译中…

• linux / server:

journalctl -g "openCryptoki" -f | grep -i "error"

• c: Review code for calls to berdecodeINTEGER, berdecodeSEQUENCE, berdecodeOCTETSTRING, berdecodeBITSTRING, and berdecodeCHOICE functions, paying close attention to buffer handling and length validation. • generic web: Inspect network traffic for unusual BER/DER encoded payloads being sent to applications using openCryptoki.

攻击时间线

2026-04-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.01% (2% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件opencryptoki

供应商opencryptoki

影响范围修复版本

<= 3.26.0 – <= 3.26.03.26.1

弱点分类 (CWE)

CWE-125

时间线

已保留2026-04-10
发布日期2026-04-16
修改日期2026-04-17
EPSS 更新日期2026-04-24

缓解措施和替代方案

建议的缓解措施是将 openCryptoki 升级到 3.26.1 或更高版本。此版本通过在 BER/DER 解码过程中实施适当的缓冲区边界验证来修复漏洞。在此期间，请限制对使用 openCryptoki 的服务的访问，仅限于受信任的用户和系统。监控系统是否存在与 BER/DER 数据操作相关的可疑活动也可以帮助检测潜在的攻击。及时应用此更新对于保护系统免受此漏洞的利用至关重要。

修复方法翻译中…

Actualizar la biblioteca openCryptoki a la versión 3.26.1 o superior para mitigar las vulnerabilidades de seguridad de memoria. La actualización corrige la falta de validación de los límites del búfer en los decodificadores BER/DER, previniendo así posibles lecturas fuera de los límites.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-40253 是什么 — openCryptoki 中的漏洞？