← Voltar ao blog

OpenSSL Corrige Múltiplas Vulnerabilidades Críticas em Lançamentos Ubuntu LTS

A Canonical lançou atualizações de segurança abordando múltiplas vulnerabilidades do OpenSSL afetando Ubuntu 14.04 até 26.04 LTS, incluindo leituras excessivas de buffer heap, bypasses de autenticação CMS e falhas de negação de serviço. Os patches resolvem problemas na análise ASN.1, verificações de integridade PKCS#12 e manipulação QUIC.

TL;DR

  • Quatro CVEs corrigidas no OpenSSL afetando lançamentos Ubuntu LTS: leitura excessiva de buffer heap (CVE-2026-34180), bypass HMAC PKCS#12 (CVE-2026-34181), bypass de autenticação CMS (CVE-2026-34182) e DoS de manipulação QUIC (CVE-2026-34183)
  • Leitura excessiva de buffer heap na análise ASN.1 poderia permitir divulgação de informações ou negação de serviço
  • Falsificação de CMS AuthEnvelopedData permite que atacantes contornem verificações de autenticação de mensagem
  • Desreferências de ponteiro NULL na descriptografia CMS baseada em senha e descriptografia CRMF acionam negação de serviço
  • Falhas relacionadas a QUIC incluindo crescimento de memória ilimitado e problemas de manipulação de pacote inicial afetam Ubuntu 25.10 e 26.04 LTS

A Canonical lançou atualizações de segurança coordenadas abordando múltiplas vulnerabilidades no OpenSSL em Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS, 20.04 LTS, 25.10 e 26.04 LTS. As vulnerabilidades abrangem problemas de segurança de memória, bypasses de autenticação criptográfica e condições de negação de serviço em nível de protocolo.

As falhas afetam funcionalidades principais do OpenSSL incluindo análise de conteúdo ASN.1, manipulação de mensagens CMS, processamento de arquivos PKCS#12 e implementação do protocolo QUIC. Atacantes poderiam explorar esses problemas para derrubar serviços, contornar verificações de segurança ou extrair informações sensíveis dependendo da vulnerabilidade específica e contexto de implantação.

Segurança de Memória e Divulgação de Informações

  • CVE-2026-34180: Leitura excessiva de buffer heap na análise de conteúdo ASN.1 descoberta por Frank Buss; permite negação de serviço ou potencial divulgação de informações
  • CVE-2026-42766: Desreferência de ponteiro NULL na descriptografia CMS baseada em senha causa negação de serviço
  • CVE-2026-42767: Desreferência de ponteiro NULL na descriptografia CRMF EncryptedValue causa negação de serviço

Bypasses de Autenticação Criptográfica

  • CVE-2026-34181: Arquivos PKCS#12 com chaves HMAC curtas incorretamente aceitos ao usar PBMAC1; permite bypass de verificação de integridade (apenas Ubuntu 25.10 e 26.04 LTS)
  • CVE-2026-34182: OpenSSL aceita mensagens CMS AuthEnvelopedData falsificadas, permitindo bypass de autenticação de mensagem

Vulnerabilidades do Protocolo QUIC

  • CVE-2026-34183: Crescimento de memória ilimitado no manipulador QUIC PATH_CHALLENGE permite negação de serviço remota (apenas Ubuntu 25.10 e 26.04 LTS)
  • CVE-2026-34184: Desreferência de ponteiro NULL na manipulação de pacote inicial do servidor QUIC permite negação de serviço remota

Versões Afetadas e Remediação

  • Atualizações disponíveis para Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS e 20.04 LTS via USN-8414-2
  • Correções adicionais para Ubuntu 25.10 e 26.04 LTS via USN-8414-1
  • Organizações devem aplicar patches imediatamente para mitigar risco de exploração

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

OpenSSL Corrige Múltiplas Vulnerabilidades Críticas em Lançamentos Ubuntu LTS — Agent Breach Blog | Agent Breach