ASA-2018-00016 – OpenSSL: Vulnerabilidade de canal lateral de temporização durante geração de assinatura DSA

For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00016

Identificador(es)

ASA-2018-00016, CVE-2018-0734

Título

Vulnerabilidade de canal lateral de temporização durante geração de assinatura DSA

Fabricante(s)

The OpenSSL Project

Produto(s)

OpenSSL

Versão(ões) afetada(s)

OpenSSL 1.1.1

OpenSSL 1.1.0 – 1.1.0i

OpenSSL 1.0.2 – 1.0.2p

Versão(ões) corrigida(s)

OpenSSL 1.1.1a

OpenSSL 1.1.0j

OpenSSL 1.0.2q

Prova de conceito

Desconhecido

Descrição

O algoritmo de assinatura ECDSA do OpenSSL foi mostrado estar vulnerável a ataques de canal lateral de temporização. Um atacante poderia usar variações durante a execução do algoritmo de assinatura para recuperar a chave privada.

Detalhes técnicos

Desconhecido

Créditos

Samuel Weiser

Referência(s)

Timing vulnerability in DSA signature generation (CVE-2018-0734) https://www.openssl.org/news/secadv/20181030.txt

Timing vulnerability in DSA signature generation (CVE-2018-0734) https://github.com/openssl/openssl/commit/8abfe72e8c1de1b95f50aa0d9134803b4d00070f

Timing vulnerability in DSA signature generation (CVE-2018-0734)  https://github.com/openssl/openssl/commit/ef11e19d1365eea2b1851e6f540a0bf365d303e7

Merge DSA reallocation timing fix CVE-2018-0734
https://github.com/openssl/openssl/commit/43e6a58d4991a451daf4891ff05a48735df871ac

Changes between 1.0.2p and 1.0.2q [20 Nov 2018]
https://www.openssl.org/news/cl102.txt

Changes between 1.1.1 and 1.1.1a [20 Nov 2018]
https://www.openssl.org/news/cl111.txt

Changes between 1.1.0i and 1.1.0j [20 Nov 2018]
https://www.openssl.org/news/cl110.txt

CVE-2018-0734
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0734

CVE-2018-0734
https://nvd.nist.gov/vuln/detail/CVE-2018-0734

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 3 fevereiro 2019