CH azonosító
CH-13838Angol cím
OpenSSL Eliptic Curve Key Recovery Information Disclosure VulnerabilityFelfedezés dátuma
2017.01.09.Súlyosság
AlacsonyÉrintett rendszerek
OpenSSLOpenSSL Software Foundation
Érintett verziók
OpenSSL
1.0.1u és azt megelőző verziók
Összefoglaló
Az OpenSSL alacsony kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó szenzitív információkat szerezhet meg.
Leírás
A sérülékenységet az OpenSSL “crypto/ecdsa/ecdsa_ossl.c” kódjának hibája okozza, amit kihasználva a támadó hozzáférhet az elliptikus görbén alapulós digitális aláírás (ECDSA – Elliptic Curve Digital Signature Algorithm) P-256 privát kulcsához. Ez a későbbiekben további támadásokhoz is felhasználható lehet.
Megoldás
Jelenleg nincs megoldás a sérülékenységre.
Javaslat:
- csak megbízható felhasználóknak engedjen hozzáférést a helyi rendszerhez
- csak kiemelt jogú felhasználóknak engedjen hozzáférést az adminisztrátori és a menedzsment rendszerekhez
Támadás típusa
Crypthographical (Titkosítás)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: tools.cisco.com
Egyéb referencia: www.securitytracker.com
CVE-2016-7056 - NVD CVE-2016-7056