Er is een onlangs gepubliceerde beveiligingslek ontdekt, CVE-2025-49087, met betrekking tot Mbed TLS. In versies 3.6.1 tot en met 3.6.3 dreigt een tijdverschil in de verwijdering van blokcijferopvulling de plaintext van versleutelde gegevens te onthullen. Dit kan gebeuren wanneer de PKCS#7 opvulmodus wordt gebruikt.
Overzicht
De kwetsbaarheid zit in Mbed TLS tot de versies eerder dan 3.6.4, en is terug te vinden in versies vanaf 3.6.1 tot 3.6.3. Dit probleem wordt geclassificeerd als een Covert Timing Channel (CWE-385), met een CVSS-score van 4 die als Middelmatig is beoordeeld.
Aanbevelingen
- Update naar Mbed TLS versie 3.6.4 of nieuwer om blootstelling aan deze kwetsbaarheid te voorkomen.
- Beoordeel uw systemen die gebruikmaken van Mbed TLS om te verzekeren dat de nieuwste versie is geïnstalleerd.
Bronnen
- Lees meer over de beveiligingsadviezen op de officiële documentatiesite van Mbed TLS.
- Raadpleeg de gedetailleerde beveiligingsmededeling op GitHub.
Vraag en Antwoord
Wat is CVE-2025-49087?
Dit is een kwetsbaarheid die een tijdsverschil in blokcijferopvullingdetectie benut om plaintext te achterhalen in Mbed TLS bij gebruik van PKCS#7.
Welke systemen zijn kwetsbaar voor CVE-2025-49087?
Alle systemen die Mbed TLS versies tussen 3.6.1 en 3.6.3 gebruiken en afhankelijk zijn van PKCS#7 voor blokcijferopvulling zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt aanbevolen om te updaten naar versie 3.6.4 of een nieuwer om tegen deze kwetsbaarheid beschermd te zijn.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk toegang krijgen tot de plaintext van versleutelde gegevens, waardoor gevoelige informatie kan worden blootgesteld.
