CVE-2024-34702
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/07/2024
Última modificación:
09/07/2024
Descripción
Botan es una librería de criptografía C++. Los certificados X.509 pueden identificar curvas elípticas utilizando un identificador de objeto o una codificación explícita de los parámetros. Antes de 3.5.0 y 2.19.5, la verificación de las restricciones de nombres en los certificados X.509 era cuadrática en el número de nombres y restricciones de nombres. Un atacante que presentara una cadena de certificados que contuviera una gran cantidad de nombres en el SubjectAlternativeName, firmado por un certificado de CA que contuviera una gran cantidad de restricciones de nombres, podría provocar una denegación de servicio. El problema se solucionó en Botan 3.5.0 y también se aplicó un backport parcial que se incluye en Botan 2.19.5.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/randombit/botan/commit/21dccc8fef18c165ba3301d850ac61521f85637e
- https://github.com/randombit/botan/commit/39535f13c322f56aa3da2f44b2b6abb8619a82ac
- https://github.com/randombit/botan/commit/477822a2d10f02d8ba46c9d8a5132f25843f5cc1
- https://github.com/randombit/botan/commit/7606d70d3a2ac7114476ec2651ca0243c4536fdf
- https://github.com/randombit/botan/commit/c3264821b9f6286ee4e6e3e06826f6b7177e6d41
- https://github.com/randombit/botan/commit/ff704b12e6fa351aaedd07bffdc91722e84586b8
- https://github.com/randombit/botan/pull/4034
- https://github.com/randombit/botan/pull/4045
- https://github.com/randombit/botan/pull/4047
- https://github.com/randombit/botan/pull/4052
- https://github.com/randombit/botan/pull/4186
- https://github.com/randombit/botan/pull/4187
- https://github.com/randombit/botan/security/advisories/GHSA-5gg9-hqpr-r58j