For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00015
Identificador(es)
ASA-2018-00015, CVE-2018-0735
Título
Vulnerabilidade de canal lateral de temporização durante geração de assinatura ECDSA
Fabricante(s)
The OpenSSL Project
Produto(s)
OpenSSL
Versão(ões) afetada(s)
OpenSSL 1.1.1
OpenSSL 1.1.0 – 1.1.0i
Versão(ões) corrigida(s)
OpenSSL 1.1.1a
OpenSSL 1.1.0j
Prova de conceito
Desconhecido
Descrição
O algoritmo de assinatura ECDSA do OpenSSL foi mostrado estar vulnerável a ataques de canal lateral de temporização. Um atacante poderia usar variações durante a execução do algoritmo de assinatura para recuperar a chave privada.
Detalhes técnicos
Desconhecido
Créditos
Samuel Weiser
Referência(s)
Timing vulnerability in ECDSA signature generation (CVE-2018-0735)
https://www.openssl.org/news/secadv/20181029.txt
Timing vulnerability in ECDSA signature generation (CVE-2018-0735)
https://github.com/openssl/openssl/commit/b1d6d55ece1c26fa2829e2b819b038d7b6d692b4
Timing vulnerability in ECDSA signature generation (CVE-2018-0735)
https://github.com/openssl/openssl/commit/56fb454d281a023b3f950d969693553d3f3ceea1
Changes between 1.1.0i and 1.1.0j [20 Nov 2018]
https://www.openssl.org/news/cl110.txt
Changes between 1.1.1 and 1.1.1a [20 Nov 2018]
https://www.openssl.org/news/cl111.txt
CVE-2018-0735
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0735
CVE-2018-0735
https://nvd.nist.gov/vuln/detail/CVE-2018-0735
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 3 fevereiro 2019