• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности DSA-3417-1 (bouncycastle)

Главная Специалистам База уязвимостей Бюллетень безопасности DSA-3417-1 (bouncycastle)

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Описание
Уязвимость существует в Bouncy Castle Crypto, библиотеке шифрования Java, и позволяет злоумышленникам осуществить атаку типа "invalid curve attack", используя алгоритм на эллиптических кривых. Злоумышленник может восстановить секретные ключи на эллиптических кривых, используемые различными приложениями, например, сервером TLS.
Более подробная информация доступна по адресу:
http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.htmlhttp://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html">http://web-in-security.blogspot.ca/2015/09/practical-invalid-curve-attacks.html />
Примеры проведения атак типа "Invalid Curve Attack" на TLS-ECDH:
http://euklid.org/pdf/ECC_Invalid_Curve.pdfhttp://euklid.org/pdf/ECC_Invalid_Curve.pdf">http://euklid.org/pdf/ECC_Invalid_Curve.pdf /> Для предыдущего стабильного дистрибутива (wheezy) уязвимость устранена в версии 1.44+dfsg-3.1+deb7u1.
Для стабильного дистрибутива (jessie) уязвимость устранена в версии 1.49+dfsg-3+deb8u1.
Для нестабильного дистрибутива (jessie) уязвимость устранена в версии 1.51-2.
Рекомендуется обновить пакеты bouncycastle.
Как исправить
Для устранения уязвимости необходимо установить следующие версии пакетов, соответствующие используемой архитектуре:
Debian GNU/Linux 8:
для всех архитектур:
bouncycastle - 1.49+dfsg-3+deb8u1
Debian GNU/Linux 7:
для всех архитектур:
bouncycastle - 1.44+dfsg-3.1+deb7u1
Ссылки
http://www.debian.org/security/dsa-3417/

Источник: CVE
Наименование: CVE-2015-7940
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940