Přehled
Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti třetí strany používané v rámci DPGW.
Podrobnosti o zranitelnosti
- CVE ID: CVE-2026-0636, CVE-2026-5588
- Název závislosti: org.bouncycastle:bcprov-jdk18on, org.bouncycastle:bcpkix-jdk18on
- Ovlivněná verze závislosti: 1.74 – 1.82
- Skóre závažnosti: 6.3 Medium, 5.5 Medium
(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:P/S:N/AU:Y/R:A/RE:M/U:Amber)
Verze DPGW ovlivňující verze závislostí
- < 1.13.18-REL
- < 1.12.42-REL
- < 1.11.46-REL
Posouzení rizik a použitelnosti
Použití
DPGW využívá knihovnu Bouncy Castle jako výchozího poskytovatele kryptografických funkcí. Funkce LDAP knihovny Bouncy Castle nejsou v DPGW využívány.
Analýza
CVE-2026-0636
Pokud aplikace využívají knihovnu Bouncy Castle k načítání digitálních certifikátů nebo seznamů odvolaných certifikátů (CRL) z adresáře LDAP, vytvoří tato knihovna vyhledávací filtr. V dotčených verzích knihovna před vložením speciálních znaků (jako *, (, ) a ) do dotazu neprovede jejich řádnou sanitaci ani „escapování“.
CVE-2026-5588
Nástroj CompositeVerifier je určen ke zpracování „složených podpisů“ – bezpečnostní metody, která využívá současně několik různých kryptografických algoritmů, aby v případě prolomení jednoho z nich (např. RSA) data nadále chránil druhý (např. ML-DSA).
Chyba spočívá ve způsobu, jakým knihovna zpracovává prázdná data: nástroj CompositeVerifier nesprávně interpretuje prázdnou sekvenci podpisu jako platný podpis.
Stav
Neovlivněno
Dopad na DPGW
Zdrojový kód není ve svém současném stavu přímo ovlivněn zranitelností CVE-2026-5588, ačkoli využívá zranitelnou verzi knihovny Bouncy Castle (1.82).
Bylo potvrzeno, že zranitelné komponenty, jako jsou CompositeVerifier, JcaContentVerifierProviderBuilder a podpora CMP (Certificate Management Protocol), nejsou v projektu nikde použity.
CVE-2026-0636 nemá žádný dopad, protože DPGW nepoužívá žádné funkce pro LDAP z knihovny BouncyCastle.
Náprava a zmírnění dopadů
Plánovaná oprava
Aktualizujte na verzi:
– 1.13.19-REL (vydání plánováno na konec dubna 2026) nebo novější
– 1.12.43-REL (vydání plánováno na konec dubna 2026) nebo novější
Akce uživatele
Není nutný žádný zásah uživatele.