Уязвимость функции _gcry_ecc_ecdsa_sign («cipher/ecc-ecdsa.c») криптографической библиотеки Libgcrypt связана с возможностью подбора вероятных значений базовых параметров очередной цифровой подписи путем перебора значений кэша и оценки времени выполнения математических вычислений, что может позволить воссоздать применяемые для создания цифровой подписи закрытые ключи ECDSA и DSA. Эксплуатация уязвимости может позволить нарушителю, обладающему доступом к локальной машине, либо к другой виртуальной машине на том же физическом узле, получить несанкционированный доступ к защищаемой информации
Использование рекомендаций:
Для Libgcrypt:
Обновление программного обеспечения до 1.8.3 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета libgcrypt20) до 1.6.3-2+deb8u5 или более поздней версии
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/06/msg00013.html
Для Ubuntu:
https://usn.ubuntu.com/3689-1/
https://usn.ubuntu.com/3689-2/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Для UBLinux:
https://security.ublinux.ru/ASA-201806-10/generate
| Балл | 4.7 — средняя опасность |