W bibliotekach Mbed TLS oraz TF-PSA-Crypto wykryto nieprawidłową walidację danych wejściowych w protokole wymiany kluczy Finite-Field Diffie-Hellman (FFDH), co powoduje brak tzw. contributory behavior. Podatność umożliwia stronie komunikacji lub aktywnemu atakującemu typu man-in-the-middle wymuszone ograniczenie wspólnego sekretu do małego, przewidywalnego zbioru wartości, co zagraża poufności i integralności komunikacji w protokołach zależnych od contributory behavior.
▸ Pokaż oryginał (EN)
An issue was discovered in Mbed TLS 3.5.x and 3.6.x through 3.6.5 and TF-PSA-Crypto 1.0. There is a lack of contributory behavior in FFDH due to improper input validation. Using finite-field Diffie-Hellman, the other party can force the shared secret into a small set of values (lack of contributory behavior). This is a problem for protocols that depend on contributory behavior (which is not the case for TLS). The attack can be carried by the peer, or depending on the protocol by an active network attacker (person in the middle).
W trakcie wymiany kluczy FFDH każda ze stron powinna wnosić niezależny, losowy wkład do wspólnego sekretu (contributory behavior). Wskutek braku właściwej walidacji danych wejściowych przesyłanych przez drugą stronę, atakujący peer lub aktywny atakujący sieciowy może przesłać spreparowany klucz publiczny, wymuszając tym samym, że wynikowy wspólny sekret pochodzi jedynie z bardzo małego, przewidywalnego zestawu wartości. Sprawia to, że bezpieczeństwo wymiany kluczy jest znacznie obniżone w protokołach, które zakładają pełną losowość udziału obu stron. Atak nie dotyczy samego protokołu TLS, lecz innych protokołów korzystających z FFDH za pośrednictwem tych bibliotek.
Atakujący może poznać lub zawęzić zakres wspólnego sekretu kryptograficznego, co prowadzi do naruszenia poufności i integralności komunikacji w protokołach zależnych od contributory behavior w FFDH. W zależności od protokołu atak może być przeprowadzony zarówno przez bezpośredniego peera, jak i aktywnego atakującego pośredniczącego w sieci (person in the middle).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o dostępnych wersjach naprawczych znajdują się w oficjalnym security advisory Mbed TLS: https://mbed-tls.readthedocs.io/en/latest/security-advisories/mbedtls-security-advisory-2026-03-ffdh-peerkey-checks/
Arm Mbed TLS w wersjach 3.5.x oraz 3.6.x do 3.6.5 włącznie, a także Arm TF-PSA-Crypto w wersji 1.0
Według opisu producenta podatność nie dotyczy protokołu TLS (który nie polega na contributory behavior), lecz innych protokołów korzystających z FFDH za pośrednictwem Mbed TLS lub TF-PSA-Crypto. Organizacje używające tych bibliotek w kontekście innym niż TLS powinny priorytetowo ocenić ekspozycję na to zagrożenie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NArm Mbed Tls
APPArm< 3.6.6Arm Tf Psa Crypto
APPArm1.0.0
Powiązane podatności
RCE przez deserializację kontekstu SSL w Mbed TLS
An issue was discovered in Mbed TLS before 2.28.2 and 3.x before 3.3.0. There is a potential heap-based buffer...
An issue was discovered in Mbed TLS before 2.28.1 and 3.x before 3.2.0. In some configurations, an unauthentic...
Mbed TLS before 3.0.1 has a double free in certain out-of-memory conditions, as demonstrated by an mbedtls_ssl...
In ARM mbed TLS before 2.7.0, there is a bounds-check bypass through an integer overflow in PSK identity parsi...