Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
libbcmail-java
(any)
libbcmail-java-doc
(any)
libbcmail-java-gcj
(any)
libbcpg-java
(any)
libbcpg-java-doc
(any)
libbcpg-java-gcj
(any)
libbcpkix-java
(any)
libbcpkix-java-doc
(any)
libbcprov-java
(any)
libbcprov-java-doc
(any)
libbcprov-java-gcj
(any)
libbctsp-java
(any)
libbctsp-java-doc
(any)
libbctsp-java-gcj
(any)
Описание
Уязвимость существует в Bouncy Castle Crypto, библиотеке шифрования Java, и позволяет злоумышленникам осуществить атаку типа "invalid curve attack", используя алгоритм на эллиптических кривых. Злоумышленник может восстановить секретные ключи на эллиптических кривых, используемые различными приложениями, например, сервером TLS.
Более подробная информация доступна по адресу:
http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html
http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html">http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html
/>
Примеры проведения атак типа "Invalid Curve Attack" на TLS-ECDH:
http://euklid.org/pdf/ECC_Invalid_Curve.pdf
http://euklid.org/pdf/ECC_Invalid_Curve.pdf">http://euklid.org/pdf/ECC_Invalid_Curve.pdf
/> Для предыдущего стабильного дистрибутива (wheezy) уязвимость устранена в версии 1.44+dfsg-3.1+deb7u1.
Для стабильного дистрибутива (jessie) уязвимость устранена в версии 1.49+dfsg-3+deb8u1.
Для нестабильного дистрибутива (jessie) уязвимость устранена в версии 1.51-2.
Рекомендуется обновить пакеты bouncycastle.
Более подробная информация доступна по адресу:
http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html
http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html">http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html
/>
Примеры проведения атак типа "Invalid Curve Attack" на TLS-ECDH:
http://euklid.org/pdf/ECC_Invalid_Curve.pdf
http://euklid.org/pdf/ECC_Invalid_Curve.pdf">http://euklid.org/pdf/ECC_Invalid_Curve.pdf
/> Для предыдущего стабильного дистрибутива (wheezy) уязвимость устранена в версии 1.44+dfsg-3.1+deb7u1.
Для стабильного дистрибутива (jessie) уязвимость устранена в версии 1.49+dfsg-3+deb8u1.
Для нестабильного дистрибутива (jessie) уязвимость устранена в версии 1.51-2.
Рекомендуется обновить пакеты bouncycastle.
Как исправить
Для устранения уязвимости необходимо установить следующие версии пакетов, соответствующие используемой архитектуре:
Debian GNU/Linux 8:
для всех архитектур:
bouncycastle - 1.49+dfsg-3+deb8u1
Debian GNU/Linux 7:
для всех архитектур:
bouncycastle - 1.44+dfsg-3.1+deb7u1
Debian GNU/Linux 8:
для всех архитектур:
bouncycastle - 1.49+dfsg-3+deb8u1
Debian GNU/Linux 7:
для всех архитектур:
bouncycastle - 1.44+dfsg-3.1+deb7u1
Ссылки
http://www.debian.org/security/dsa-3417/
Источник: CVE
Наименование: CVE-2015-7940
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
Источник: CVE
Наименование: CVE-2015-7940
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940