ASA-2019-00537 – OpenSSL: Padding Oracle nas funções PKCS7_dataDecode e CMS_decrypt_set1_pkey


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00537

Identificador(es)

ASA-2019-00537, CVE-2019-1563

Título

Padding Oracle nas funções PKCS7_dataDecode e CMS_decrypt_set1_pkey

Fabricante(s)

The OpenSSL Project

Produto(s)

OpenSSL

Versão(ões) afetada(s)

OpenSSL versão 1.1.1
OpenSSL versão 1.1.0
OpenSSL versão 1.0.2

Versão(ões) corrigida(s)

OpenSSL versão 1.1.1d
OpenSSL versão 1.1.0l
OpenSSL versão 1.0.2t

Prova de conceito

Desconhecido

Descrição

Nas situações em que um atacante recebe uma notificação automatizada do sucesso ou falha de uma tentativa de descriptografia, o atacante, após enviar um número muito grande de mensagens a serem descriptografadas, pode recuperar uma chave de criptografia transportada CMS/PKCS7 ou descriptografar qualquer mensagem criptografada RSA que foi criptografada com a chave pública RSA, usando um ataque de padding oracle Bleichenbacher. Os aplicativos não serão afetados se eles usarem um certificado junto com a chave RSA privada para as funções CMS_decrypt() ou PKCS7_decrypt() para selecionar as informações corretas do destinatário a descriptografar.

Detalhes técnicos

Desconhecido

Créditos

Bernd Edlinger

Referência(s)

Padding Oracle in PKCS7_dataDecode and CMS_decrypt_set1_pkey (CVE-2019-1563)
https://www.openssl.org/news/secadv/20190910.txt

Fix a padding oracle in PKCS7_dataDecode and CMS_decrypt_set1_pkey
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=08229ad838c50f644d7e928e2eef147b4308ad64

Fix a padding oracle in PKCS7_dataDecode and CMS_decrypt_set1_pkey
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=631f94db0065c78181ca9ba5546ebc8bb3884b97

Fix a padding oracle in PKCS7_dataDecode and CMS_decrypt_set1_pkey
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=e21f8cf78a125cd3c8c0d1a1a6c8bb0b901f893f

CVE-2019-1563
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1563

CVE-2019-1563
https://nvd.nist.gov/vuln/detail/CVE-2019-1563

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 16 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.