Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:M/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
OpenSSL
(1.0.2, 1.0.2t, 1.1.0, 1.1.0l, 1.1.1, 1.1.1d)
Описание
В группах эллиптических кривых OpenSSL обычно присутствует кофактор, используемый в защите путей выполнения кода от атак по сторонним каналам. Однако в некоторых случаях возможно создание группы с использованием явно заданных параметров (вместо именованной кривой). В подобных случаях кофактор может отсутствовать в группе. Такая вероятность существует, даже когда все параметры соответствуют известной именованной кривой. Если используется такая кривая, то OpenSSL переключается на пути выполнения кода без защиты от атак по сторонним каналам, что может привести к полному восстановлению ключа во время операции подписи ECDSA. Для эксплуатации уязвимости злоумышленнику необходимо получить время создания большого количества подписей, для которых приложением, использующим libcrypto, использовались явно заданные параметры без кофактора. Примечание: libssl не является уязвимой, поскольку явно заданные параметры никогда не используются.
Как исправить
OpenSSL может использоваться в составе различных продуктов. Способы решения проблемы:
1) установите версию продукта с исправленной версией OpenSSL;
2) ограничьте использование продукта, в котором используется уязвимая версия OpenSSL.
1) установите версию продукта с исправленной версией OpenSSL;
2) ограничьте использование продукта, в котором используется уязвимая версия OpenSSL.
Ссылки
Источник: CVE
Наименование: CVE-2019-1547
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
https://www.openssl.org/news/secadv/20190910.txt
Наименование: CVE-2019-1547
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
https://www.openssl.org/news/secadv/20190910.txt