Issue summary: Processing a malformed PKCS#12 file can trigger a NULL pointer
dereference in the PKCS12_item_decrypt_d2i_ex() function.
Impact summary: A NULL pointer dereference can trigger a crash which leads to
Denial of Service for an application processing PKCS#12 files.
The PKCS12_item_decrypt_d2i_ex() function does not check whether the oct
parameter is NULL before dereferencing it. When called from
PKCS12_unpack_p7encdata() with a malformed PKCS#12 file, this parameter can
be NULL, causing a crash. The vulnerability is limited to Denial of Service
and cannot be escalated to achieve code execution or memory disclosure.
Exploiting this issue requires an attacker to provide a malformed PKCS#12 file
to an application that processes it. For that reason the issue was assessed as
Low severity according to our Security Policy.
The FIPS modules in 3.6, 3.5, 3.4, 3.3 and 3.0 are not affected by this issue,
as the PKCS#12 implementation is outside the OpenSSL FIPS module boundary.
OpenSSL 3.6, 3.5, 3.4, 3.3, 3.0, 1.1.1 and 1.0.2 are vulnerable to this issue.
CVE-2025-69421 is a NULL pointer dereference vulnerability in OpenSSL's PKCS#12 file processing that causes application crashes (Denial of Service). The vulnerability exists in the PKCS12_item_decrypt_d2i_ex() function when processing malformed PKCS#12 files and affects OpenSSL versions 1.0.2, 1.1.1, 3.0, 3.3, 3.4, 3.5, and 3.6. While limited to DoS with no code execution risk, this impacts any Saudi organization using affected OpenSSL versions for certificate and key management operations.
Immediate Actions:
1. Identify all systems running OpenSSL versions 1.0.2, 1.1.1, 3.0, 3.3, 3.4, 3.5, or 3.6 using: openssl version
2. Audit applications that process PKCS#12 files (certificate management, VPN clients, email systems, HSM interfaces)
3. Implement input validation to reject malformed PKCS#12 files before processing
Patching Guidance:
1. Update to OpenSSL 1.1.1w or later, 3.0.14 or later, 3.3.2 or later, 3.4.1 or later, or 3.5.1 or later
2. Prioritize patching for systems processing untrusted PKCS#12 files
3. Test patches in non-production environments before deployment
4. Coordinate with application vendors for OpenSSL dependency updates
Compensating Controls (if immediate patching unavailable):
1. Restrict PKCS#12 file processing to trusted sources only
2. Implement file format validation before OpenSSL processing
3. Use application-level error handling to gracefully handle processing failures
4. Monitor for unexpected application crashes or service restarts
5. Implement network segmentation to limit exposure of certificate processing services
Detection Rules:
1. Monitor for OpenSSL segmentation faults (SIGSEGV) in application logs
2. Alert on unexpected application restarts related to certificate/PKCS#12 processing
3. Track failed PKCS#12 import/decryption operations
4. Monitor for malformed file uploads to certificate management systems
الإجراءات الفورية:
1. تحديد جميع الأنظمة التي تقوم بتشغيل إصدارات OpenSSL 1.0.2 و1.1.1 و3.0 و3.3 و3.4 و3.5 أو 3.6 باستخدام: openssl version
2. تدقيق التطبيقات التي تعالج ملفات PKCS#12 (إدارة الشهادات وعملاء VPN وأنظمة البريد الإلكتروني وواجهات HSM)
3. تنفيذ التحقق من صحة المدخلات لرفض ملفات PKCS#12 المشوهة قبل المعالجة
إرشادات التصحيح:
1. التحديث إلى OpenSSL 1.1.1w أو أحدث أو 3.0.14 أو أحدث أو 3.3.2 أو أحدث أو 3.4.1 أو أحدث أو 3.5.1 أو أحدث
2. إعطاء الأولوية لتصحيح الأنظمة التي تعالج ملفات PKCS#12 غير الموثوقة
3. اختبار التصحيحات في بيئات غير الإنتاج قبل النشر
4. التنسيق مع بائعي التطبيقات لتحديثات تبعيات OpenSSL
الضوابط البديلة (إذا لم يكن التصحيح الفوري متاحاً):
1. تقييد معالجة ملفات PKCS#12 للمصادر الموثوقة فقط
2. تنفيذ التحقق من صيغة الملف قبل معالجة OpenSSL
3. استخدام معالجة الأخطاء على مستوى التطبيق للتعامل مع فشل المعالجة بشكل سلس
4. مراقبة توقف التطبيقات غير المتوقعة أو إعادة تشغيل الخدمات
5. تنفيذ تقسيم الشبكة لتحديد التعرض لخدمات معالجة الشهادات
قواعد الكشف:
1. مراقبة أخطاء OpenSSL (SIGSEGV) في سجلات التطبيقات
2. التنبيه على إعادة تشغيل التطبيقات غير المتوقعة المتعلقة بمعالجة الشهادات/PKCS#12
3. تتبع عمليات استيراد/فك تشفير PKCS#12 الفاشلة
4. مراقبة تحميل الملفات المشوهة على أنظمة إدارة الشهادات