CVE-2026-50722
WysokieCVSS 8.1Streszczenie
W bibliotece Libreswan w funkcji RSA_authenticate_hash_signature_pkcs1_1_5_rsa() stwierdzono nieprawidłowe weryfikowanie kodowania DER skrótu ASN.1 podczas przetwarzania ładunku uwierzytelniającego IKEv2 z użyciem RSASSA-PKCS1-v1_5. Zdalny atakujący może wykorzystać wariant ataku Bleichenbachera do sfałszowania ładunku AUTH przy małych wykładnikach publicznych (np. e=3), co prowadzi do podszycia się. Ponadto, poprzez zakodowanie krótszego niż oczekiwano skrótu w ładunku AUTH, atakujący może wywołać asercję prowadzącą do odmowy usługi.
Ocena ryzyka
Ryzyko obejmuje możliwość zdalnego podszycia się pod legalnego użytkownika lub urządzenie (impersonacja) oraz przeprowadzenie ataku typu odmowa usługi (DoS) poprzez wielokrotne wywoływanie asercji i restartowanie demona. Może to prowadzić do przerwania komunikacji VPN i naruszenia integralności uwierzytelniania.
Rekomendacja
Należy niezwłocznie zaktualizować Libreswan do wersji, w której poprawiono weryfikację kodowania DER w RSA_authenticate_hash_signature_pkcs1_1_5_rsa(). Do czasu aktualizacji zaleca się unikanie używania małych wykładników publicznych (np. e=3) w certyfikatach oraz monitorowanie logów pod kątem nieprawidłowych ładunków AUTH.
Oryginalny opis (angielski, źródło NVD)
Libreswan, via the function RSA_authenticate_hash_signature_pkcs1_1_5_rsa(), did not correctly verify the DER encoding of the ASN.1 digest when the IKEv2 AUTH payload was encoded using RSASSA-PKCS1-v1_5 (RFC 8017). A remote attacker can use a variation on the Bleichenbacher attack to forge the AUTH payload when small public exponents are used (e.g., e=3), leading to impersonation. Additionally, a remote attacker, by encoding a shorter than expected hash in the AUTH payload, could trigger an assertion leading to denial-of-service. The daemon aborts and restarts; continued exploitation causes sustained denial of service. Remote code execution is not possible. X.509 certificate verifications of the remote IKE peer are not affected.

