OpenSSL Corrige Múltiplas Vulnerabilidades Críticas em Lançamentos Ubuntu LTS
A Canonical lançou atualizações de segurança abordando múltiplas vulnerabilidades do OpenSSL afetando Ubuntu 14.04 até 26.04 LTS, incluindo leituras excessivas de buffer heap, bypasses de autenticação CMS e falhas de negação de serviço. Os patches resolvem problemas na análise ASN.1, verificações de integridade PKCS#12 e manipulação QUIC.
TL;DR
- Quatro CVEs corrigidas no OpenSSL afetando lançamentos Ubuntu LTS: leitura excessiva de buffer heap (CVE-2026-34180), bypass HMAC PKCS#12 (CVE-2026-34181), bypass de autenticação CMS (CVE-2026-34182) e DoS de manipulação QUIC (CVE-2026-34183)
- Leitura excessiva de buffer heap na análise ASN.1 poderia permitir divulgação de informações ou negação de serviço
- Falsificação de CMS AuthEnvelopedData permite que atacantes contornem verificações de autenticação de mensagem
- Desreferências de ponteiro NULL na descriptografia CMS baseada em senha e descriptografia CRMF acionam negação de serviço
- Falhas relacionadas a QUIC incluindo crescimento de memória ilimitado e problemas de manipulação de pacote inicial afetam Ubuntu 25.10 e 26.04 LTS
A Canonical lançou atualizações de segurança coordenadas abordando múltiplas vulnerabilidades no OpenSSL em Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 25.10 e 26.04 LTS. As vulnerabilidades abrangem problemas de segurança de memória, bypasses de autenticação criptográfica e condições de negação de serviço em nível de protocolo.
As falhas afetam funcionalidades principais do OpenSSL incluindo análise de conteúdo ASN.1, manipulação de mensagens CMS, processamento de arquivos PKCS#12 e implementação do protocolo QUIC. Atacantes poderiam explorar esses problemas para derrubar serviços, contornar verificações de segurança ou extrair informações sensíveis dependendo da vulnerabilidade específica e contexto de implantação.
Segurança de Memória e Divulgação de Informações
- CVE-2026-34180: Leitura excessiva de buffer heap na análise de conteúdo ASN.1 descoberta por Frank Buss; permite negação de serviço ou potencial divulgação de informações
- CVE-2026-42766: Desreferência de ponteiro NULL na descriptografia CMS baseada em senha causa negação de serviço
- CVE-2026-42767: Desreferência de ponteiro NULL na descriptografia CRMF EncryptedValue causa negação de serviço
Bypasses de Autenticação Criptográfica
- CVE-2026-34181: Arquivos PKCS#12 com chaves HMAC curtas incorretamente aceitos ao usar PBMAC1; permite bypass de verificação de integridade (apenas Ubuntu 25.10 e 26.04 LTS)
- CVE-2026-34182: OpenSSL aceita mensagens CMS AuthEnvelopedData falsificadas, permitindo bypass de autenticação de mensagem
Vulnerabilidades do Protocolo QUIC
- CVE-2026-34183: Crescimento de memória ilimitado no manipulador QUIC PATH_CHALLENGE permite negação de serviço remota (apenas Ubuntu 25.10 e 26.04 LTS)
- CVE-2026-34184: Desreferência de ponteiro NULL na manipulação de pacote inicial do servidor QUIC permite negação de serviço remota
Versões Afetadas e Remediação
- Atualizações disponíveis para Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS e 20.04 LTS via USN-8414-2
- Correções adicionais para Ubuntu 25.10 e 26.04 LTS via USN-8414-1
- Organizações devem aplicar patches imediatamente para mitigar risco de exploração
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.