Een kritieke fout met de CVE-ID CVE-2025-9340 is ontdekt in de Bouncy Castle bibliotheek voor Java. Deze out-of-bounds schrijffout kan leiden tot gegevensbeschadiging als dezelfde bytearray wordt gebruikt voor input en output bij versleuteling/ontsleuteling. De impact van dit probleem kan groot zijn, vooral als het wordt geëxploiteerd zonder dat u het merkt.
Overzicht
Bouncy Castle voor Java, een veelgebruikte cryptografische bibliotheek, heeft een kwetsbaarheid die verband houdt met de org/bouncycastle/jcajce/provider/BaseCipher programmabestanden. Deze kwetsbaarheid betreft versies van BC-FJA 2.1.0. Het gaat om een out-of-bounds schrijffout, geclassificeerd onder CWE-787.
Aanbevelingen
- Voorkom het gebruik van ‘in-place’ operaties bij het omgaan met AES-native versleuteling/ontsleuteling.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-9340?
Het betreft een out-of-bounds schrijffout in de Bouncy Castle voor Java die kan leiden tot beschadiging van gegevens tijdens encryptieprocessen.
Welke systemen zijn kwetsbaar voor CVE-2025-9340?
Alle systemen die Bouncy Castle voor Java versie BC-FJA 2.1.0 gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen specifieke patch vrijgegeven, maar het vermijden van ‘in-place’ operaties is aanbevolen als werkoplossing.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk ongeoorloofde wijzigingen aanbrengen aan gegevens die in-en-uit dezelfde byte arrays worden verwerkt tijdens encryptieprocessen.
