Argitalpen data: 2018/12/04
Garrantzia: Handia
Kaltetutako baliabideak:
- Mbed TLSren bertsio guztiak.
Azalpena:
Kritikotasun altuko ahultasuna
baliatuz, pribilegiorik gabeko erasotzaile lokal batek RSA-sin-(EC)DH(E)
zifratuko suiteetan erabiltzen den RSA deszifratuaren testu laua eskura lezake.
Konponbidea:
- Mbed TLSren bertsio berrienetakoren
batera eguneratzea, 2.14.1,
2.7.8,
2.1.17
edo berriagoak barne.
- Mbed TLSren bertsio eguneratuak
oraindik ahulak dira ihesetako baten aurrean, baldin eta RSA gakoaren
tamaina ez bada makinaren hitzaren tamainaren multiploa. Horregatik
aholkatzen da 64 biten multiploak diren gako tamainak erabiltzea.
Xehetasuna:
- Ahultasuna baliatuz erasotzaile batek
kodea exekuta lezake eta formaturik gabeko testua berreskuratu Bleichenbacher
oracle baten bidez. Zehazki, RSA deszifratua erabiltzen duten
(D)TLS konexioei eragiten die. Horietan erasotzaileak konexioa deszifra
lezake zerbitzarian testua berreskuratzeko eraso baten bidez, edo konexioa
atzeman dezake edukiaren gaineko man-in-the-middle erako eraso baten bidez. Ahultasun horretarako CVE-2018-19608 kodea
erreserbatu da.
Etiketak: Eguneraketa,
Komunikazioak, Ahultasuna