BDU:2019-00510: Уязвимость функции _gcry_ecc_ecdsa_sign криптографической библиотеки Libgcrypt, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость функции _gcry_ecc_ecdsa_sign («cipher/ecc-ecdsa.c») криптографической библиотеки Libgcrypt связана с возможностью подбора вероятных значений базовых параметров очередной цифровой подписи путем перебора значений кэша и оценки времени выполнения математических вычислений, что может позволить воссоздать применяемые для создания цифровой подписи закрытые ключи ECDSA и DSA. Эксплуатация уязвимости может позволить нарушителю, обладающему доступом к локальной машине, либо к другой виртуальной машине на том же физическом узле, получить несанкционированный доступ к защищаемой информации
Вендор Canonical Ltd., АО «НПО РусБИТех», Werner Koch, Сообщество свободного программного обеспечения, Oracle Corp., ООО «Юбитех»
Наименование ПО Ubuntu, Astra Linux, Libgcrypt, Debian GNU/Linux, Oracle Traffic Director, UBLinux
Версия ПО
  • 14.04 LTS (Ubuntu)
  • 16.04 LTS (Ubuntu)
  • 17.10 (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux)
  • до 1.7.10 (Libgcrypt)
  • от 1.8.0 до 1.8.3 (Libgcrypt)
  • 8.0 (Debian GNU/Linux)
  • 12.04 ESM (Ubuntu)
  • 11.1.1.9.0 (Oracle Traffic Director)
  • до 21.1 (UBLinux)
Тип ПО Операционная система, Программное средство защиты, Сетевое программное средство
Операционные системы и аппаратные платформы
  • Canonical Ltd. Ubuntu 14.04 LTS
  • Canonical Ltd. Ubuntu 16.04 LTS
  • Canonical Ltd. Ubuntu 17.10
  • Canonical Ltd. Ubuntu 18.04 LTS
  • АО «НПО РусБИТех» Astra Linux 1.6 «Смоленск»
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Canonical Ltd. Ubuntu 12.04 ESM
  • ООО «Юбитех» UBLinux до 21.1
Тип ошибки Раскрытие информации
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 13.06.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Libgcrypt:
Обновление программного обеспечения до 1.8.3 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета libgcrypt20) до 1.6.3-2+deb8u5 или более поздней версии

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/06/msg00013.html

Для Ubuntu:
https://usn.ubuntu.com/3689-1/
https://usn.ubuntu.com/3689-2/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Для UBLinux:
https://security.ublinux.ru/ASA-201806-10/generate
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения