ASA-2018-00015 – OpenSSL: Vulnerabilidade de canal lateral de temporização durante geração de assinatura ECDSA


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00015

Identificador(es)

ASA-2018-00015, CVE-2018-0735

Título

Vulnerabilidade de canal lateral de temporização durante geração de assinatura ECDSA

Produto(s)

OpenSSL

Versão(ões) afetada(s)

OpenSSL 1.1.1

OpenSSL 1.1.0 – 1.1.0i

Versão(ões) corrigida(s)

OpenSSL 1.1.1a-dev

OpenSSL 1.1.0j-dev

Prova de conceito

Desconhecido

Descrição

O algoritmo de assinatura ECDSA do OpenSSL foi mostrado estar vulnerável a ataques de canal lateral de temporização. Um atacante poderia usar variações durante a execução do algoritmo de assinatura para recuperar a chave privada.

Referência(s)

Timing vulnerability in ECDSA signature generation (CVE-2018-0735)
https://www.openssl.org/news/secadv/20181029.txt

Timing vulnerability in ECDSA signature generation (CVE-2018-0735)
https://github.com/openssl/openssl/commit/b1d6d55ece1c26fa2829e2b819b038d7b6d692b4

Timing vulnerability in ECDSA signature generation (CVE-2018-0735)
https://github.com/openssl/openssl/commit/56fb454d281a023b3f950d969693553d3f3ceea1

CVE-2018-0735
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0735

CVE-2018-0735
https://nvd.nist.gov/vuln/detail/CVE-2018-0735

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 7 de novembro de 2018