Vulnerabilidad en Botan (CVE-2024-34703)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/06/2024
Última modificación:
30/01/2026
Descripción
Botan es una librería de criptografía C++. Los certificados X.509 pueden identificar curvas elípticas utilizando un identificador de objeto o una codificación explícita de los parámetros. Antes de las versiones 3.3.0 y 2.19.4, un atacante podía presentar un certificado ECDSA X.509 usando codificación explícita donde los parámetros eran muy grandes. La prueba de concepto utilizó un prime de 16 Kbit para este propósito. Al analizar, se comprueba que el parámetro sea primo, lo que provoca un cálculo excesivo. Esto fue parcheado en 2.19.4 y 3.3.0 para permitir que el parámetro principal de la curva elíptica tenga como máximo 521 bits. No hay workarounds disponibles. Tenga en cuenta que la compatibilidad con la codificación explícita de parámetros de curvas elípticas está obsoleta en Botan.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/randombit/botan/commit/08c404b23740babee1f6aa51b54e966029aadee4
- https://github.com/randombit/botan/commit/94e9154c143aa5264da6254a6a1be5bc66ee2b5a
- https://github.com/randombit/botan/security/advisories/GHSA-w4g2-7m2h-7xj7
- https://github.com/randombit/botan/commit/08c404b23740babee1f6aa51b54e966029aadee4
- https://github.com/randombit/botan/commit/94e9154c143aa5264da6254a6a1be5bc66ee2b5a
- https://github.com/randombit/botan/security/advisories/GHSA-w4g2-7m2h-7xj7