OpenSSL sérülékenység

CH azonosító

CH-14281

Angol cím

OpenSSL bn_sqrx8x_internal() Carry Bug Lets Remote Users Obtain Potentially Sensitive Information on the Target System in Certain Cases

Felfedezés dátuma

2017.11.07.

Súlyosság

Közepes

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 1.1.0, 1.0.2

Összefoglaló

Az OpenSSL közepes kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó bizalmas információkhoz juthat a szerveren. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A x86_64 Montgomery négyzetelő eljárást használó bn_sqrx8x_internal() függvény sérülékenységét kihasználva a támadó jelzőbit átviteli hibát (carry propagation flaw) okozhat, ezáltal megfelelő körülmények között hozzáférhet a privát kulcshoz.

Azok a processzorok érintettek, amelyek támogatják a BMI1, BMI2, és ADX kiterjesztéseket (például Intel Broadwell 5th generációs és feletti, vagy AMD Ryzen).

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a 1.1.0g vagy 1.0.2m verzióra.