Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
OpenSSL
(1.0.2, 1.0.2t, 1.1.0, 1.1.0l, 1.1.1, 1.1.1d)
Описание
Если злоумышленник получает автоматические уведомления об удачной или неудачной попытке расшифровки, то после отправки большого количества сообщений для расшифровки он может восстановить передаваемый ключ шифрования CMS/PKCS7 или расшифровать любое сообщение, зашифрованное с помощью открытого ключа RSA, используя атаку с предсказанием заполнения Блейхенбахера. Приложения не подвержены уязвимости, если используют сертификат совместно с секретным ключом RSA для функции CMS_decrypt или PKCS7_decrypt при выборе правильной информации о получателе для расшифровки.
Как исправить
OpenSSL может использоваться в составе различных продуктов. Способы решения проблемы:
1) установите версию продукта с исправленной версией OpenSSL;
2) ограничьте использование продукта, в котором используется уязвимая версия OpenSSL.
1) установите версию продукта с исправленной версией OpenSSL;
2) ограничьте использование продукта, в котором используется уязвимая версия OpenSSL.
Ссылки
Источник: CVE
Наименование: CVE-2019-1563
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1563
https://www.openssl.org/news/secadv/20190910.txt
Наименование: CVE-2019-1563
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1563
https://www.openssl.org/news/secadv/20190910.txt