Vulnerabilidad en MbedTLS (CVE-2025-49600)

En MbedTLS 3.3.0 anterior a 3.6.4, mbedtls_lms_verify podía aceptar firmas no válidas si el cálculo del hash fallaba y los errores internos no se verificaban, lo que permitía la falsificación de la firma LMS (Leighton-Micali Signature) en un escenario de fallo. Específicamente, los valores de retorno no verificados en mbedtls_lms_verify permiten a un atacante (que puede inducir un fallo en el acelerador de hash de hardware) omitir la verificación de la firma LMS reutilizando datos obsoletos de la pila, lo que resulta en la aceptación de una firma no válida. En mbedtls_lms_verify, los valores de retorno de las funciones internas del árbol de Merkle create_merkle_leaf_value y create_merkle_internal_value no se verifican. Estas funciones devuelven un entero que indica si la llamada se realizó correctamente. Si se produce un fallo, el búfer de salida (Tc_candidate_root_node) puede permanecer sin inicializar, y el resultado de la verificación de la firma es impredecible. Al implementar SHA-256 en software, estas funciones no fallan. Sin embargo, con el hashing acelerado por hardware, un atacante podría usar la inyección de fallos contra el acelerador para eludir la verificación.