ГлавнаяБаза уязвимостей БДУ → BDU:2019-00510
4.7средняя

BDU:2019-00510

Уязвимость функции _gcry_ecc_ecdsa_sign криптографической библиотеки Libgcrypt, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-02-07
Описание

Уязвимость функции _gcry_ecc_ecdsa_sign («cipher/ecc-ecdsa.c») криптографической библиотеки Libgcrypt связана с возможностью подбора вероятных значений базовых параметров очередной цифровой подписи путем перебора значений кэша и оценки времени выполнения математических вычислений, что может позволить воссоздать применяемые для создания цифровой подписи закрытые ключи ECDSA и DSA. Эксплуатация уязвимости может позволить нарушителю, обладающему доступом к локальной машине, либо к другой виртуальной машине на том же физическом узле, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Ubuntu (17.10)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Libgcrypt (до 1.7.10)Libgcrypt (от 1.8.0 до 1.8.3)Ubuntu (12.04 ESM)Oracle Traffic Director (11.1.1.9.0)Debian GNU/Linux (8)UBLinux (до 21.1)
Способ устранения

Использование рекомендаций:
Для Libgcrypt:
Обновление программного обеспечения до 1.8.3 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета libgcrypt20) до 1.6.3-2+deb8u5 или более поздней версии

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/06/msg00013.html

Для Ubuntu:
https://usn.ubuntu.com/3689-1/
https://usn.ubuntu.com/3689-2/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Для UBLinux:
https://security.ublinux.ru/ASA-201806-10/generate

Оценка CVSS
Балл4.7 — средняя опасность
Источники и патчи
http://www.securitytracker.com/id/1041144http://www.securitytracker.com/id/1041147https://access.redhat.com/errata/RHSA-2018:3221https://access.redhat.com/errata/RHSA-2018:3505https://dev.gnupg.org/T4011https://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=commit;h=9010d1576e278a4274ad3f4aa15776c28f6ba965https://lists.debian.org/debian-lts-announce/2018/06/msg00013.htmlhttps://lists.gnupg.org/pipermail/gnupg-announce/2018q2/000426.html
Проверьте безопасность своего сайта и почты → Полная проверка домена