Все бюллетени/sisyphus/ALT-PU-2024-4730-3
ALT-PU-2024-4730-3

Обновление пакета mbedtls в ветке sisyphus

Версия3.6.0-alt1
Задание#343893
Опубликовано2026-02-04
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (4)

BDU:2024-02490
MEDIUM5.3

Уязвимость реализации прикладного программного интерфейса PSA Crypto программного обеспечения Mbed TLS и Mbed Crypto, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность данных

Опубликовано: 2024-04-02Изменено: 2025-02-07
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
CVSS 2.0СРЕДНЯЯ 4.3
CVSS:2.0/AV:L/AC:L/Au:S/C:P/I:P/A:P
Ссылки
CVE-2024-28836
MEDIUM5.4

An issue was discovered in Mbed TLS 3.5.x before 3.6.0. When negotiating the TLS version on the server side, it can fall back to the TLS 1.2 implementation of the protocol if it is disabled. If the TLS 1.2 implementation was disabled at build time, a TLS 1.2 client could put a TLS 1.3-only server into an infinite loop processing a TLS 1.2 ClientHello, resulting in a denial of service. If the TLS 1.2 implementation was disabled at runtime, a TLS 1.2 client can successfully establish a TLS 1.2 connection with the server.

Опубликовано: 2024-04-03Изменено: 2025-06-27
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Ссылки
CVE-2024-28960
HIGH8.2

An issue was discovered in Mbed TLS 2.18.0 through 2.28.x before 2.28.8 and 3.x before 3.6.0, and Mbed Crypto. The PSA Crypto API mishandles shared memory.

Опубликовано: 2024-03-29Изменено: 2025-11-04
CVSS 3.xВЫСОКАЯ 8.2
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Ссылки
CVE-2024-30166
CRITICAL9.1

In Mbed TLS 3.3.0 through 3.5.2 before 3.6.0, a malicious client can cause information disclosure or a denial of service because of a stack buffer over-read (of less than 256 bytes) in a TLS 1.3 server via a TLS 3.1 ClientHello.

Опубликовано: 2024-04-03Изменено: 2025-06-27
CVSS 3.xКРИТИЧЕСКАЯ 9.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Ссылки

Закрытые ошибки (1)