ASA-2018-00016 – OpenSSL: Vulnerabilidade de canal lateral de temporização durante geração de assinatura DSA

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00016

Identificador(es)

ASA-2018-00016, CVE-2018-0734

Título

Vulnerabilidade de canal lateral de temporização durante geração de assinatura DSA

Produto(s)

OpenSSL

Versão(ões) afetada(s)

OpenSSL 1.1.1

OpenSSL 1.1.0 – 1.1.0i

OpenSSL 1.0.2 – 1.0.2p

Versão(ões) corrigida(s)

OpenSSL 1.1.1a

OpenSSL 1.1.0j

OpenSSL 1.0.2q

Prova de conceito

Desconhecido

Descrição

O algoritmo de assinatura ECDSA do OpenSSL foi mostrado estar vulnerável a ataques de canal lateral de temporização. Um atacante poderia usar variações durante a execução do algoritmo de assinatura para recuperar a chave privada.

Referência(s)

Timing vulnerability in DSA signature generation (CVE-2018-0734) https://www.openssl.org/news/secadv/20181030.txt

Timing vulnerability in DSA signature generation (CVE-2018-0734) https://github.com/openssl/openssl/commit/8abfe72e8c1de1b95f50aa0d9134803b4d00070f

Timing vulnerability in DSA signature generation (CVE-2018-0734)  https://github.com/openssl/openssl/commit/ef11e19d1365eea2b1851e6f540a0bf365d303e7

Merge DSA reallocation timing fix CVE-2018-0734
https://github.com/openssl/openssl/commit/43e6a58d4991a451daf4891ff05a48735df871ac

Changes between 1.0.2p and 1.0.2q [20 Nov 2018]
https://www.openssl.org/news/cl102.txt

Changes between 1.1.1 and 1.1.1a [20 Nov 2018]
https://www.openssl.org/news/cl111.txt

Changes between 1.1.0i and 1.1.0j [20 Nov 2018]
https://www.openssl.org/news/cl110.txt

CVE-2018-0734
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0734

CVE-2018-0734
https://nvd.nist.gov/vuln/detail/CVE-2018-0734

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 21 de novembro de 2018