<!DOCTYPE html>

<html>

  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <p>A security vulnerability is present in OpenSSL in MidnightBSD

      3.2.3, 4.0 current.  </p>

    <p><span

style="color: rgb(31, 35, 40); font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", "Noto Sans", Helvetica, Arial, sans-serif, "Apple Color Emoji", "Segoe UI Emoji"; font-size: 14px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; white-space: normal; background-color: rgb(255, 255, 255); text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial; display: inline !important; float: none;">An

        application trying to decrypt CMS messages encrypted using

        password based encryption can trigger an out-of-bounds read and

        write. Impact summary: This out-of-bounds read may trigger a

        crash which leads to Denial of Service for an application. The

        out-of-bounds write can cause a memory corruption which can have

        various consequences including a Denial of Service or Execution

        of attacker-supplied code. Although the consequences of a

        successful exploit of this vulnerability could be severe, the

        probability that the attacker would be able to perform it is

        low. Besides, password based (PWRI) encryption support in CMS

        messages is very rarely used. For that reason the issue was

        assessed as Moderate severity according to our Security Policy.

        The FIPS modules in 3.5, 3.4, 3.3, 3.2, 3.1 and 3.0 are not

        affected by this issue, as the CMS implementation is outside the

        OpenSSL FIPS module boundary.</span></p>

    <p>Advisory:</p>

    <p><a class="moz-txt-link-freetext" href="https://github.com/MidnightBSD/src/security/advisories/GHSA-7g3w-f2m6-v43c">https://github.com/MidnightBSD/src/security/advisories/GHSA-7g3w-f2m6-v43c</a></p>

    <p>Patch:</p>

    <p><a class="moz-txt-link-freetext" href="https://github.com/MidnightBSD/src/commit/ad1cfffb414dd9f3e6787cd0e39c3d2b319addd5">https://github.com/MidnightBSD/src/commit/ad1cfffb414dd9f3e6787cd0e39c3d2b319addd5</a></p>

    <p>(note: we haven't updated the security list on the main website

      yet) </p>

    <pre class="moz-signature" cols="72">-- 

Lucas Holt

<a class="moz-txt-link-abbreviated" href="mailto:Luke@FoolishGames.com">Luke@FoolishGames.com</a>

________________________________________________________

MidnightBSD.org (Free OS)

JustJournal.com (Free blogging)</pre>

  </body>

</html>