Vulnerabilidad en la API OCB (CVE-2025-69418)

Resumen del problema: Al usar la API OCB de bajo nivel directamente con AES-NI u otras rutas de código aceleradas por hardware, las entradas cuya longitud no es un múltiplo de 16 bytes pueden dejar el bloque parcial final sin cifrar y sin autenticar.<br /> Resumen del impacto: Los últimos 1-15 bytes de un mensaje pueden quedar expuestos en texto claro durante el cifrado y no están cubiertos por la etiqueta de autenticación, lo que permite a un atacante leer o manipular esos bytes sin ser detectado. Las rutinas de cifrado y descifrado OCB de bajo nivel en la ruta de flujo acelerada por hardware procesan bloques completos de 16 bytes, pero no avanzan los punteros de entrada/salida. El código posterior de manejo de la cola opera entonces sobre los punteros base originales, reprocesando efectivamente el inicio del búfer mientras deja los bytes finales reales sin procesar. La suma de verificación de autenticación también excluye los verdaderos bytes de la cola. Sin embargo, los consumidores típicos de OpenSSL que usan EVP no se ven afectados porque las implementaciones OCB de EVP y del proveedor de nivel superior dividen las entradas de modo que los bloques completos y los bloques parciales finales se procesan en llamadas separadas, evitando la ruta de código problemática. Además, TLS no utiliza conjuntos de cifrado OCB. La vulnerabilidad solo afecta a las aplicaciones que llaman directamente a las funciones de bajo nivel CRYPTO_ocb128_encrypt() o CRYPTO_ocb128_decrypt() con longitudes no alineadas a bloques en una sola llamada en compilaciones aceleradas por hardware. Por estas razones, el problema se evaluó como de baja severidad. Los módulos FIPS en 3.6, 3.5, 3.4, 3.3, 3.2, 3.1 y 3.0 no se ven afectados por este problema, ya que el modo OCB no es un algoritmo aprobado por FIPS. OpenSSL 3.6, 3.5, 3.4, 3.3, 3.0 y 1.1.1 son vulnerables a este problema. OpenSSL 1.0.2 no se ve afectado por este problema.