Katalog CVE

CVE-2026-50721

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W bibliotece Libreswan w funkcji RSA_authenticate_hash_signature_raw_rsa() nieprawidłowo weryfikowano długość haszu uwierzytelniającego podczas przetwarzania pakietów IKEv1 z kodowaniem PKCS #1 RSA Encryption (RFC 2313). Zdalny atakujący może wykorzystać wariant ataku Bleichenbachera do sfałszowania ładunku SIG przy małych wykładnikach publicznych (np. e=3), co prowadzi do podszycia się. Ponadto, wysłanie zbyt krótkiego haszu w ładunku SIG może wywołać asercję i przerwanie działania demona, powodując odmowę usługi.

Ocena ryzyka

Organizacja narażona jest na ryzyko podszycia się pod zaufane strony w ramach połączeń IKEv1 oraz na ataki typu DoS, które mogą zakłócić działanie usług VPN. Ciągła eksploatacja prowadzi do trwałej odmowy usługi.

Rekomendacja

Należy niezwłocznie zaktualizować Libreswan do wersji zawierającej poprawkę usuwającą tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do usług IKEv1 oraz monitorowanie nietypowych zdarzeń w logach.

Oryginalny opis (angielski, źródło NVD)

Libreswan, via the function RSA_authenticate_hash_signature_raw_rsa(), did not correctly verify the length of the authentication hash when the SIG payload of an IKEv1 packet was encoded using PKCS #1 RSA Encryption as per RFC 2313. A remote attacker can use a variation on the Bleichenbacher attack to forge the SIG payload when small public exponents are being used (e.g., e=3), which could lead to impersonation. Additionally, a remote attacker, by encoding a shorter than expected hash in the SIG payload, could trigger an assertion leading to denial-of-service. The daemon aborts and restarts; continued exploitation causes sustained denial of service. Remote code execution is not possible. X.509 certificate verifications of remote IKE peers are not affected.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS