CH azonosító
CH-14404Angol cím
OpenSSL RSA Key Generation BN_mod_inverse() and BN_mod_exp_mont() Cache Timing Attack Lets Local Users Recover the Private KeyFelfedezés dátuma
2018.04.15.Súlyosság
AlacsonyÖsszefoglaló
Az OpenSSL olyan alacsony besorolású sérülékenységét jelentették, amelyet kihasználva egy helyi felhasználó privát kulcsokat állíthat vissza.
Leírás
A sérülékenységet az RSA kulcsgeneráló algoritmusok (BN_mod_inverse() és BN_mod_exp_mont()) hibája okozza, amelyet kihasználva ún. “cache timing side channel” támadást lehet végrehajtani, melynek következtében meg lehet szerezni a privát kulcsokat.
Megoldás
A gyártó az alacsony kockázati szint miatt nem ad ki újabb verziót, hanem majd a következő kiadásban javítja a sérülékenységet (OpenSSL 1.1.0i ÉS OpenSSL 1.0.2p), illetve már elérhető a forráskód szintű javítás.
Támadás típusa
Crypthographical (Titkosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.openssl.org
Egyéb referencia: securitytracker.com
CVE-2018-0737 - NVD CVE-2018-0737
