ASA-2018-00015 – OpenSSL: Vulnerabilidade de canal lateral de temporização durante geração de assinatura ECDSA

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00015

Identificador(es)

ASA-2018-00015, CVE-2018-0735

Título

Vulnerabilidade de canal lateral de temporização durante geração de assinatura ECDSA

Produto(s)

OpenSSL

Versão(ões) afetada(s)

OpenSSL 1.1.1

OpenSSL 1.1.0 – 1.1.0i

Versão(ões) corrigida(s)

OpenSSL 1.1.1a

OpenSSL 1.1.0j

Prova de conceito

Desconhecido

Descrição

O algoritmo de assinatura ECDSA do OpenSSL foi mostrado estar vulnerável a ataques de canal lateral de temporização. Um atacante poderia usar variações durante a execução do algoritmo de assinatura para recuperar a chave privada.

Referência(s)

Timing vulnerability in ECDSA signature generation (CVE-2018-0735)
https://www.openssl.org/news/secadv/20181029.txt

Timing vulnerability in ECDSA signature generation (CVE-2018-0735)
https://github.com/openssl/openssl/commit/b1d6d55ece1c26fa2829e2b819b038d7b6d692b4

Timing vulnerability in ECDSA signature generation (CVE-2018-0735)
https://github.com/openssl/openssl/commit/56fb454d281a023b3f950d969693553d3f3ceea1

Changes between 1.1.0i and 1.1.0j [20 Nov 2018]
https://www.openssl.org/news/cl110.txt

Changes between 1.1.1 and 1.1.1a [20 Nov 2018]
https://www.openssl.org/news/cl111.txt

CVE-2018-0735
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0735

CVE-2018-0735
https://nvd.nist.gov/vuln/detail/CVE-2018-0735

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 21 de novembro de 2018