Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
OpenSSL
(1.0.2, 1.0.2u)
Описание
Переполнение в процедуре возведения в квадрат по алгоритму Монтгомери x64_64 при возведении в степень по 512-битному модулю. Отсутствует в алгоритмах эллиптических кривых. Атаки на RSA1024 (с 2-мя простыми числами), RSA1536 (с 3-мя простыми числами) и DSA1024 считаются трудновыполнимыми и маловероятными. Атаки на DH512 считаются трудновыполнимыми, но возможными, при этом атакуемый должен переиспользовать (что не рекомендуется) секретный ключ DH512. Приложения, непосредственно использующие низкоуровневый API BN_mod_exp, могут быть уязвимы, если используют BN_FLG_CONSTTIME.
Как исправить
OpenSSL может использоваться в составе различных продуктов. Способы решения проблемы:
1) установите версию продукта с исправленной версией OpenSSL;
2) ограничьте использование продукта, в котором используется уязвимая версия OpenSSL.
1) установите версию продукта с исправленной версией OpenSSL;
2) ограничьте использование продукта, в котором используется уязвимая версия OpenSSL.
Ссылки
Источник: CVE
Наименование: CVE-2019-1551
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1551
https://www.openssl.org/news/secadv/20191206.txt
Наименование: CVE-2019-1551
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1551
https://www.openssl.org/news/secadv/20191206.txt
