ASA-2018-00016 – OpenSSL: Vulnerabilidade de canal lateral de temporização durante geração de assinatura DSA


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00016

Identificador(es)

ASA-2018-00016, CVE-2018-0734

Título

Vulnerabilidade de canal lateral de temporização durante geração de assinatura DSA

Fabricante(s)

The OpenSSL Project

Produto(s)

OpenSSL

Versão(ões) afetada(s)

OpenSSL 1.1.1

OpenSSL 1.1.0 – 1.1.0i

OpenSSL 1.0.2 – 1.0.2p

Versão(ões) corrigida(s)

OpenSSL 1.1.1a

OpenSSL 1.1.0j

OpenSSL 1.0.2q

Prova de conceito

Desconhecido

Descrição

O algoritmo de assinatura ECDSA do OpenSSL foi mostrado estar vulnerável a ataques de canal lateral de temporização. Um atacante poderia usar variações durante a execução do algoritmo de assinatura para recuperar a chave privada.

Detalhes técnicos

Desconhecido

Créditos

Samuel Weiser

Referência(s)

Timing vulnerability in DSA signature generation (CVE-2018-0734) https://www.openssl.org/news/secadv/20181030.txt

Timing vulnerability in DSA signature generation (CVE-2018-0734) https://github.com/openssl/openssl/commit/8abfe72e8c1de1b95f50aa0d9134803b4d00070f

Timing vulnerability in DSA signature generation (CVE-2018-0734)  https://github.com/openssl/openssl/commit/ef11e19d1365eea2b1851e6f540a0bf365d303e7

Merge DSA reallocation timing fix CVE-2018-0734
https://github.com/openssl/openssl/commit/43e6a58d4991a451daf4891ff05a48735df871ac

Changes between 1.0.2p and 1.0.2q [20 Nov 2018]
https://www.openssl.org/news/cl102.txt

Changes between 1.1.1 and 1.1.1a [20 Nov 2018]
https://www.openssl.org/news/cl111.txt

Changes between 1.1.0i and 1.1.0j [20 Nov 2018]
https://www.openssl.org/news/cl110.txt

CVE-2018-0734
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0734

CVE-2018-0734
https://nvd.nist.gov/vuln/detail/CVE-2018-0734

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 3 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.