Er is een kritieke kwetsbaarheid vastgesteld in Mbed TLS (versies ouder dan 3.6.4), gedetailleerd als CVE-2025-47917. Deze kwetsbaarheid maakt een gebruik-na-vrijgegeven geheugen (use-after-free) mogelijk, wat bij foutgevoelige applicaties kan worden misbruikt. Het probleem treedt op bij het gebruik van de functie mbedtls_x509_string_to_names() die, in tegenstelling tot de documentatie, het geheugen wel vrijmaakt. Hierdoor lopen applicaties die op de documentatie vertrouwen, risico op geheugenproblemen.
De programma’s x509/cert_write en x509/cert_req worden direct getroffen, vooral wanneer de san string meer dan één DN bevat. Hierdoor kunnen aanvallers potentieel toegang krijgen tot kritieke geheugenblokken en ernstigere aanvallen uitvoeren.
Overzicht
De kwetsbaarheid situeert zich in de beveiligingscomponent van Mbed TLS. Uit analyse blijkt een CVSS-score van 8.9, wat de hoge ernst aangeeft door de aard van geheugenmisbruik.
Aanbevelingen
- Update onmiddellijk naar Mbed TLS versie 3.6.4 of nieuwer om kwetsbaarheid te mitigeren.
- Controleer applicaties die afhankelijk zijn van Mbed TLS en pas code aan die
mbedtls_x509_string_to_names()gebruiken. - Voer uitgebreide geheugencontroles uit met debug-tools om gebruik-na-vrijgegeven geheugen te monitoren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-47917?
Het is een use-after-free kwetsbaarheid in Mbed TLS dat critieke veiligheidsrisico’s veroorzaakt door vrijgegeven geheugen opnieuw te gebruiken.
Welke systemen zijn kwetsbaar voor CVE-2025-47917?
Systemen die Mbed TLS gebruiken, versies ouder dan 3.6.4 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, gebruikers moeten upgraden naar Mbed TLS versie 3.6.4 of hoger.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang verkrijgen tot bevrijde geheugenblokken, potentieel leidend tot datalekken of uitvoering van schadelijke code.
