BDU:2019-00510: Уязвимость функции _gcry_ecc_ecdsa_sign криптографической библиотеки Libgcrypt, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость функции _gcry_ecc_ecdsa_sign («cipher/ecc-ecdsa.c») криптографической библиотеки Libgcrypt связана с возможностью подбора вероятных значений базовых параметров очередной цифровой подписи путем перебора значений кэша и оценки времени выполнения математических вычислений, что может позволить воссоздать применяемые для создания цифровой подписи закрытые ключи ECDSA и DSA. Эксплуатация уязвимости может позволить нарушителю, обладающему доступом к локальной машине, либо к другой виртуальной машине на том же физическом узле, получить несанкционированный доступ к защищаемой информации
Вендор Canonical Ltd., Software in the Public Interest Inc., АО «НПО РусБИТех», Werner Koch, Oracle Corp.
Наименование ПО Ubuntu, Debian GNU/Linux, Astra Linux, Libgcrypt, Oracle Traffic Director
Версия ПО
  • 14.04 LTS (Ubuntu)
  • 8.0 (Debian GNU/Linux)
  • 16.04 LTS (Ubuntu)
  • 17.10 (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux)
  • до 1.7.10 (Libgcrypt)
  • от 1.8.0 до 1.8.3 (Libgcrypt)
  • 12.04 ESM (Ubuntu)
  • 11.1.1.9.0 (Oracle Traffic Director)
Тип ПО Операционная система, Программное средство защиты, Сетевое программное средство
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Раскрытие информации
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 13.06.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7)
Возможные меры по устранению уязвимости
Для Libgcrypt:
Обновление программного обеспечения до 1.8.3 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета libgcrypt20) до 1.6.3-2+deb8u5 или более поздней версии

Использование рекомендаций:
https://dev.gnupg.org/T4011
https://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=commit;h=9010d1576e278a4274ad3f4aa15776c28f6ba965
https://lists.debian.org/debian-lts-announce/2018/06/msg00013.html
https://lists.gnupg.org/pipermail/gnupg-announce/2018q2/000426.html
https://usn.ubuntu.com/3689-1/
https://usn.ubuntu.com/3689-2/
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование сроками и состоянием
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения