• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Разглашение информации

Главная Специалистам База уязвимостей Разглашение информации

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
OpenSSL (1.0.2, 1.0.2t, 1.1.0, 1.1.0l, 1.1.1, 1.1.1d)
Описание
Если злоумышленник получает автоматические уведомления об удачной или неудачной попытке расшифровки, то после отправки большого количества сообщений для расшифровки он может восстановить передаваемый ключ шифрования CMS/PKCS7 или расшифровать любое сообщение, зашифрованное с помощью открытого ключа RSA, используя атаку с предсказанием заполнения Блейхенбахера. Приложения не подвержены уязвимости, если используют сертификат совместно с секретным ключом RSA для функции CMS_decrypt или PKCS7_decrypt при выборе правильной информации о получателе для расшифровки.
Как исправить
OpenSSL может использоваться в составе различных продуктов. Способы решения проблемы:
1) установите версию продукта с исправленной версией OpenSSL;
2) ограничьте использование продукта, в котором используется уязвимая версия OpenSSL.
Ссылки