ASA-2018-00042 – OpenSSL: Vulnerabilidade de canal lateral da microarquitetura na multiplicação escalar da implementação de curvas elípticas ECC


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00042

Identificador(es)

ASA-2018-00042, CVE-2018-5407

Título

Vulnerabilidade de canal lateral da microarquitetura na multiplicação escalar da implementação de curvas elípticas ECC

Fabricante(s)

The OpenSSL Project

Produto(s)

OpenSSL

Versão(ões) afetada(s)

OpenSSL 1.0.2
OpenSSL 1.1.0 até 1.1.0i

Versão(ões) corrigida(s)

OpenSSL 1.1.0i
OpenSSL 1.0.2q

Prova de conceito

Desconhecido

Descrição

Multiplicação escalar na implementação de curvas elípticas (ECC) do OpenSSL, usada, como exemplo, no ECDSA e ECDH, tem se mostrado estar vulnerável a ataques de canal lateral da microarquitetura. Um atacante com acesso suficiente para montar ataques de canal lateral local poderá recuperar a chave privada durante a geração da assinatura ECDSA.

Detalhes técnicos

Desconhecido

Créditos

Alejandro Cabrera, Aldaya, Billy Brumley, Sohaib ul Hassan, Cesar Pereida Garcia e Nicola Tuveri

Referência(s)

Microarchitecture timing vulnerability in ECC scalar multiplication (CVE-2018-5407)
https://mta.openssl.org/pipermail/openssl-announce/2018-November/000137.html

Microarchitecture timing vulnerability in ECC scalar multiplication (CVE-2018-5407)
https://www.openssl.org/news/secadv/20181112.txt

Changes between 1.0.2p and 1.0.2q
https://www.openssl.org/news/cl102.txt

CVE-2018-5407
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5407

CVE-2018-5407
https://nvd.nist.gov/vuln/detail/CVE-2018-5407

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 28 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.