CRITICAL✓ PATCH🇬🇧 English

CVE-2026-34872

Brak weryfikacji wkładu strony w FFDH w Mbed TLS i TF-PSA-Crypto

CVSS 9.1v3.1pub. 2026-04-01upd. 2026-04-03

W bibliotekach Mbed TLS oraz TF-PSA-Crypto wykryto nieprawidłową walidację danych wejściowych w protokole wymiany kluczy Finite-Field Diffie-Hellman (FFDH), co powoduje brak tzw. contributory behavior. Podatność umożliwia stronie komunikacji lub aktywnemu atakującemu typu man-in-the-middle wymuszone ograniczenie wspólnego sekretu do małego, przewidywalnego zbioru wartości, co zagraża poufności i integralności komunikacji w protokołach zależnych od contributory behavior.

Pokaż oryginał (EN)

An issue was discovered in Mbed TLS 3.5.x and 3.6.x through 3.6.5 and TF-PSA-Crypto 1.0. There is a lack of contributory behavior in FFDH due to improper input validation. Using finite-field Diffie-Hellman, the other party can force the shared secret into a small set of values (lack of contributory behavior). This is a problem for protocols that depend on contributory behavior (which is not the case for TLS). The attack can be carried by the peer, or depending on the protocol by an active network attacker (person in the middle).

🤖 Analiza AI
Jak działa

W trakcie wymiany kluczy FFDH każda ze stron powinna wnosić niezależny, losowy wkład do wspólnego sekretu (contributory behavior). Wskutek braku właściwej walidacji danych wejściowych przesyłanych przez drugą stronę, atakujący peer lub aktywny atakujący sieciowy może przesłać spreparowany klucz publiczny, wymuszając tym samym, że wynikowy wspólny sekret pochodzi jedynie z bardzo małego, przewidywalnego zestawu wartości. Sprawia to, że bezpieczeństwo wymiany kluczy jest znacznie obniżone w protokołach, które zakładają pełną losowość udziału obu stron. Atak nie dotyczy samego protokołu TLS, lecz innych protokołów korzystających z FFDH za pośrednictwem tych bibliotek.

Skutki

Atakujący może poznać lub zawęzić zakres wspólnego sekretu kryptograficznego, co prowadzi do naruszenia poufności i integralności komunikacji w protokołach zależnych od contributory behavior w FFDH. W zależności od protokołu atak może być przeprowadzony zarówno przez bezpośredniego peera, jak i aktywnego atakującego pośredniczącego w sieci (person in the middle).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o dostępnych wersjach naprawczych znajdują się w oficjalnym security advisory Mbed TLS: https://mbed-tls.readthedocs.io/en/latest/security-advisories/mbedtls-security-advisory-2026-03-ffdh-peerkey-checks/

Kogo dotyczy

Arm Mbed TLS w wersjach 3.5.x oraz 3.6.x do 3.6.5 włącznie, a także Arm TF-PSA-Crypto w wersji 1.0

Uwagi

Według opisu producenta podatność nie dotyczy protokołu TLS (który nie polega na contributory behavior), lecz innych protokołów korzystających z FFDH za pośrednictwem Mbed TLS lub TF-PSA-Crypto. Organizacje używające tych bibliotek w kontekście innym niż TLS powinny priorytetowo ocenić ekspozycję na to zagrożenie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Arm Mbed Tls

    APP
    Arm
    < 3.6.6
  • Arm Tf Psa Crypto

    APP
    Arm
    1.0.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-34877CRITICAL9.8PL ✓ten sam produkt

RCE przez deserializację kontekstu SSL w Mbed TLS

CVE-2022-46393CRITICAL9.8ten sam produkt

An issue was discovered in Mbed TLS before 2.28.2 and 3.x before 3.3.0. There is a potential heap-based buffer...

CVE-2022-35409CRITICAL9.1ten sam produkt

An issue was discovered in Mbed TLS before 2.28.1 and 3.x before 3.2.0. In some configurations, an unauthentic...

CVE-2021-44732CRITICAL9.8ten sam produkt

Mbed TLS before 3.0.1 has a double free in certain out-of-memory conditions, as demonstrated by an mbedtls_ssl...

CVE-2017-18187CRITICAL9.8ten sam produkt

In ARM mbed TLS before 2.7.0, there is a bounds-check bypass through an integer overflow in PSK identity parsi...