For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00030
Identificador(es)
ASA-2019-00030, CVE-2019-6486
Título
Vulnerabilidade de DoS na CPU afetando curvas elípticas P-521 e P-384
Fabricante(s)
The Go Authors
Produto(s)
Go
Versão(ões) afetada(s)
Go 1.11.x anterior à 1.11.5
Go 1.10.x anterior à 1.10.8
Versão(ões) corrigida(s)
Go 1.11.5
Go 1.10.8
Prova de conceito
Desconhecida
Descrição
Uma vulnerabilidade DoS nas implementações de criptografia/elíptica das P-521 e P-384 curvas elípticas pode permitir que um atacante crie entradas que consumam quantidades excessivas de CPU.
Essas entradas podem ser entregues por meio de handshakes TLS, certificados X.509, tokens JWT, compartilhamentos ECDH ou assinaturas ECDSA. Em alguns casos, se uma chave privada ECDH for reutilizada mais de uma vez, o ataque também poderá levar à recuperação da chave.
Se o ECDH for usado em um protocolo Ephemeral-Static, o atacante poderá usar várias tentativas para recuperar a chave privada estática. crypto/tls não reutiliza chaves privadas de ECDH, por isso não é afetado, mas certos modos de criptografia JWT são baseados em ECDH-ES, portanto, seriam afetados se a chave privada for uma chave P-384 ou P-521.
Detalhes técnicos
Desconhecido
Créditos
Julie Qiu e Filippo Valsorda
Referência(s)
[security] Go 1.11.5 and Go 1.10.8 are released
https://groups.google.com/forum/#!topic/golang-announce/mVeX35iXuSw
crypto/elliptic: CPU DoS vulnerability affecting P-521 and P-384 #29903
https://github.com/golang/go/issues/29903
[release-branch.go1.11-security] crypto/elliptic: reduce subtraction term to prevent long busy loop
https://github.com/golang/go/commit/42b42f71cf8f5956c09e66230293dfb5db652360
CVE-2019-6486
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6486
CVE-2019-6486
https://nvd.nist.gov/vuln/detail/CVE-2019-6486
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 8 dezembro 2019