O que mudou agora
A comunidade de criptografia de código aberto recebeu um alerta crítico nesta quarta-feira, 8 de abril de 2026, com o lançamento de uma atualização abrangente de segurança pela OpenSSL. A correção aborda sete vulnerabilidades identificadas nas versões suportadas da biblioteca, sendo a mais grave a CVE-2026-31790. Esta falha específica permite que dados sensíveis não inicializados sejam expostos a pares maliciosos durante a manipulação de RSA KEM (Key Encapsulation Mechanism). A OpenSSL recomenda que usuários das versões 3.x vulneráveis migrem imediatamente para as versões corrigidas: 3.0.20, 3.3.7, 3.4.5, 3.5.6 ou 3.6.2, dependendo do ramo de suporte utilizado.
Análise técnica detalhada
A vulnerabilidade principal, CVE-2026-31790, afeta aplicações que utilizam a função EVP_PKEY_encapsulate() com RSA/RSASVE para derivar um segredo compartilhado a partir de uma chave pública RSA fornecida pelo atacante, sem validar previamente essa chave. O erro subjacente reside em uma verificação incorreta do valor de retorno: a função RSA_public_encrypt() retorna -1 em caso de falha, mas o código afetado verificava apenas se o valor era diferente de zero. Isso permitia que a encapsulação parecesse bem-sucedida mesmo quando a criptografia havia falhado.
Esse erro lógico cria um cenário perigoso para desenvolvedores que utilizam buffers de cifras fornecidos pelo chamador. Se a operação RSA falhar, a API pode definir os comprimentos de saída e retornar o controle como se uma cifra KEM válida tivesse sido gerada, deixando bytes obsoletos ou não inicializados no buffer de cifra para serem enviados de volta ao par. A OpenSSL alertou que esses bytes podem conter dados sensíveis deixados para trás de uma execução anterior do processo da aplicação, transformando o que parece ser uma operação criptográfica falha em uma condição de vazamento de dados.
Além da falha de nível moderado no RSASVE, a OpenSSL corrigiu seis falhas de baixa severidade que são mais situacionais, mas ainda importantes para defensores que rastreiam a exposição da biblioteca. Entre elas, destaca-se uma leitura fora dos limites em AES-CFB-128 em sistemas x86-64 com suporte a AVX-512 e VAES (CVE-2026-28386), um uso após a liberação em configurações incomuns de cliente DANE (CVE-2026-28387) e um desreferenciamento NULL em delta CRL (CVE-2026-28388).
Impacto e alcance
A falha afeta as versões OpenSSL 3.0, 3.3, 3.4, 3.5 e 3.6, enquanto as versões 1.0.2 e 1.1.1 não são afetadas. Módulos FIPS nas versões 3.6, 3.5, 3.4, 3.3, 3.1 e 3.0 também estão impactados, tornando o problema relevante não apenas para implantações de propósito geral, mas também para ambientes regulamentados que dependem de limites criptográficos validados. A maioria dessas questões cria principalmente condições de negação de serviço, mas destacam um padrão de risco recorrente em bibliotecas criptográficas: caminhos de análise e tratamento de erros de casos de borda frequentemente se tornam superfícies de ataque quando as aplicações processam certificados não confiáveis, objetos CMS, CRLs ou chaves públicas.
Recomendações para CISOs
Para equipes de segurança, a atualização é um lembrete de que a exposição da OpenSSL não se limita à terminação TLS. Gateways de e-mail, ferramentas de processamento de certificados, serviços CMS/S/MIME e aplicativos personalizados que utilizam APIs modernas de KEM podem precisar de revisão. A OpenSSL recomenda chamar EVP_PKEY_public_check() ou EVP_PKEY_public_check_quick() antes de invocar EVP_PKEY_encapsulate() como mitigação imediata. Essa orientação é crucial porque a exploração depende da aplicação aceitar uma chave pública RSA controlada pelo atacante inválida em primeiro lugar.
Perguntas frequentes
Quais versões são afetadas?
As versões 3.0, 3.3, 3.4, 3.5 e 3.6 são afetadas. As versões 1.0.2 e 1.1.1 não são.
Como mitigar sem atualizar imediatamente?
Implemente validação explícita de chaves públicas em qualquer fluxo de trabalho que utilize encapsulamento baseado em RSA, especialmente onde material de chave remoto ou fornecido pelo usuário pode atingir a superfície da API.
Isso afeta módulos FIPS?
Sim, módulos FIPS nas versões 3.6, 3.5, 3.4, 3.3, 3.1 e 3.0 estão impactados.