ASA-2018-00042 – OpenSSL: Vulnerabilidade de canal lateral da microarquitetura na multiplicação escalar da implementação de curvas elípticas ECC


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00042

Identificador(es)

ASA-2018-00042, CVE-2018-5407

Título

Vulnerabilidade de canal lateral da microarquitetura na multiplicação escalar da implementação de curvas elípticas ECC

Fabricante(s)

OpenSSL

Produto(s)

OpenSSL

Versão(ões) afetada(s)

OpenSSL 1.0.2

OpenSSL 1.1.0 até 1.1.0i

Versão(ões) corrigida(s)

OpenSSL 1.1.0i

OpenSSL 1.0.2q

Prova de conceito

Desconhecido

Descrição

Multiplicação escalar na implementação de curvas elípticas (ECC) do OpenSSL, usada, como exemplo, no ECDSA e ECDH, tem se mostrado estar vulnerável a ataques de canal lateral da microarquitetura. Um atacante com acesso suficiente para montar ataques de canal lateral local poderá recuperar a chave privada durante a geração da assinatura ECDSA.

Referência(s)

Microarchitecture timing vulnerability in ECC scalar multiplication (CVE-2018-5407)
https://mta.openssl.org/pipermail/openssl-announce/2018-November/000137.html

Microarchitecture timing vulnerability in ECC scalar multiplication (CVE-2018-5407)
https://www.openssl.org/news/secadv/20181112.txt

Changes between 1.0.2p and 1.0.2q
https://www.openssl.org/news/cl102.txt

CVE-2018-5407
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5407

CVE-2018-5407
https://nvd.nist.gov/vuln/detail/CVE-2018-5407

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 21 de novembro de 2018