Sicherheitsanfälligkeit bezüglich Remotecodeausführung

11ns · #1 01-19-2025, 11:38 PM

Crypto ++ (aka crytopp und libcrypto ++) 5.6.4 enthielt einen Fehler in seiner ASN.1 BER Dekodierroutine. Die Bibliothek weist basierend auf dem Längenfeld des ASN.1-Objekts einen Speicherblock zu. Wenn im ASN.1-Objekt nicht genügend Inhaltsoktette vorhanden sind, schlägt die Funktion fehl und der Speicherblock wird auf Null gesetzt, selbst wenn er nicht verwendet wird. Es gibt eine merkliche Verzögerung während des Wischens für eine große Zuweisung.
#OFFENSIVESECURITY #SQL #VULNERABILITY #LAXSECURITY