|
Описание уязвимости |
Уязвимость функции _gcry_ecc_ecdsa_sign («cipher/ecc-ecdsa.c») криптографической библиотеки Libgcrypt связана с возможностью подбора вероятных значений базовых параметров очередной цифровой подписи путем перебора значений кэша и оценки времени выполнения математических вычислений, что может позволить воссоздать применяемые для создания цифровой подписи закрытые ключи ECDSA и DSA. Эксплуатация уязвимости может позволить нарушителю, обладающему доступом к локальной машине, либо к другой виртуальной машине на том же физическом узле, получить несанкционированный доступ к защищаемой информации |
|
Вендор
|
Canonical Ltd., ООО «РусБИТех-Астра», Werner Koch, Сообщество свободного программного обеспечения, Oracle Corp., ООО «Юбитех» |
|
Наименование ПО
|
Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Libgcrypt, Debian GNU/Linux, Oracle Traffic Director, UBLinux (запись в едином реестре российских программ №6874) |
|
Версия ПО
|
- 14.04 LTS (Ubuntu)
- 16.04 LTS (Ubuntu)
- 17.10 (Ubuntu)
- 18.04 LTS (Ubuntu)
- 1.6 «Смоленск» (Astra Linux Special Edition)
- до 1.7.10 (Libgcrypt)
- от 1.8.0 до 1.8.3 (Libgcrypt)
- 8.0 (Debian GNU/Linux)
- 12.04 ESM (Ubuntu)
- 11.1.1.9.0 (Oracle Traffic Director)
- до 21.1 (UBLinux)
|
|
Тип ПО
|
Операционная система, Программное средство защиты, Сетевое программное средство |
|
Операционные системы и аппаратные платформы
|
|
|
Тип ошибки |
Раскрытие информации |
|
Идентификатор типа ошибки
|
|
|
Класс уязвимости
|
Уязвимость кода |
|
Дата выявления |
13.06.2018 |
|
Базовый вектор уязвимости
|
|
|
Уровень опасности уязвимости
|
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7) |
|
Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для Libgcrypt:
Обновление программного обеспечения до 1.8.3 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета libgcrypt20) до 1.6.3-2+deb8u5 или более поздней версии
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/06/msg00013.html
Для Ubuntu:
https://usn.ubuntu.com/3689-1/
https://usn.ubuntu.com/3689-2/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Для UBLinux:
https://security.ublinux.ru/ASA-201806-10/generate |
|
Статус уязвимости
|
Подтверждена производителем |
|
Наличие эксплойта |
Существует в открытом доступе |
|
Способ эксплуатации |
- Несанкционированный сбор информации
|
|
Способ устранения |
Обновление программного обеспечения |
|
Информация об устранении |
Уязвимость устранена |
|
Ссылки на источники |
|
|
Идентификаторы других систем описаний уязвимостей
|
|
|
Прочая информация |
Данные уточняются |
