Vulnerabilidad en Botan (CVE-2018-9860)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/04/2018

Última modificación:

03/10/2019

Descripción

Se ha descubierto un problema en Botan desde la versión 1.11.32 hasta las versiones 2.x anteriores a la 2.6.0. Un error por un paso cuando se procesa texto cifrado TLS-CBC mal formado podría provocar que la parte receptora incluya en el cálculo de la HMAC exactamente 64K bytes de datos junto con el búfer del registro. Esto también se conoce como sobrelectura. La comparación de MAC fallaría en consecuencia y la conexión se cerraría. Esto se podría utilizar para realizar una denegación de servicio (DoS). No ocurre ninguna fuga de información.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico