For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00016
Identificador(es)
ASA-2018-00016, CVE-2018-0734
Título
Vulnerabilidade de canal lateral de temporização durante geração de assinatura DSA
Fabricante(s)
The OpenSSL Project
Produto(s)
OpenSSL
Versão(ões) afetada(s)
OpenSSL 1.1.1
OpenSSL 1.1.0 – 1.1.0i
OpenSSL 1.0.2 – 1.0.2p
Versão(ões) corrigida(s)
OpenSSL 1.1.1a
OpenSSL 1.1.0j
OpenSSL 1.0.2q
Prova de conceito
Desconhecido
Descrição
O algoritmo de assinatura ECDSA do OpenSSL foi mostrado estar vulnerável a ataques de canal lateral de temporização. Um atacante poderia usar variações durante a execução do algoritmo de assinatura para recuperar a chave privada.
Detalhes técnicos
Desconhecido
Créditos
Samuel Weiser
Referência(s)
Timing vulnerability in DSA signature generation (CVE-2018-0734) https://www.openssl.org/news/secadv/20181030.txt
Timing vulnerability in DSA signature generation (CVE-2018-0734) https://github.com/openssl/openssl/commit/8abfe72e8c1de1b95f50aa0d9134803b4d00070f
Timing vulnerability in DSA signature generation (CVE-2018-0734) https://github.com/openssl/openssl/commit/ef11e19d1365eea2b1851e6f540a0bf365d303e7
Merge DSA reallocation timing fix CVE-2018-0734
https://github.com/openssl/openssl/commit/43e6a58d4991a451daf4891ff05a48735df871ac
Changes between 1.0.2p and 1.0.2q [20 Nov 2018]
https://www.openssl.org/news/cl102.txt
Changes between 1.1.1 and 1.1.1a [20 Nov 2018]
https://www.openssl.org/news/cl111.txt
Changes between 1.1.0i and 1.1.0j [20 Nov 2018]
https://www.openssl.org/news/cl110.txt
CVE-2018-0734
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0734
CVE-2018-0734
https://nvd.nist.gov/vuln/detail/CVE-2018-0734
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 3 fevereiro 2019