JVNDB-2013-001462

GnuTLS の TLS の実装における識別攻撃およびプレーンテキストリカバリ攻撃を誘発される脆弱性

GnuTLS の TLS の実装は、不正な形式の CBC パディングを処理している間、非準拠の MAC チェック操作へのタイミングサイドチャネル攻撃について適切に配慮しないため、識別攻撃、およびプレーンテキストリカバリ攻撃を誘発される脆弱性が存在します。

本脆弱性は、CVE-2013-0169 と関連する問題です。

GNU Project

• GnuTLS 2.12.23 未満
• GnuTLS 3.0.28 未満の 3.0.x
• GnuTLS 3.1.7 未満の 3.1.x

第三者により、巧妙に細工されたパケットのタイミングデータの統計的分析を介して、識別攻撃、およびプレーンテキストリカバリ攻撃を誘発される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1752-1

GNU Project

• GnuTLS : Commit b8391806cd79095fe566f2401d8c7ad85a64b198
• GnuTLS : Commit 328ee22c1b3951e060c7124c7cb1cee592c59bc0
• GnuTLS : GNUTLS-SA-2013-1
• GnuTLS : nmav's Blog

Novell

• opensuse-updates : openSUSE-SU-2013:0807

オラクル

• SECURITY BLOG : CVE-2013-1619 Cryptographic Issues vulnerability in GnuTLS

レッドハット

• Red Hat Security Advisory : RHSA-2013:0588

1. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2013-1619

1. National Vulnerability Database (NVD) : CVE-2013-1619
2. 関連文書 : Lucky Thirteen: Breaking the TLS and DTLS Record Protocols

• [2013年02月12日]
    掲載
  [2013年03月11日]
    ベンダ情報：レッドハット (RHSA-2013:0588) を追加
    ベンダ情報：Ubuntu (USN-1752-1) を追加
  [2013年06月17日]
    ベンダ情報：Novell (openSUSE-SU-2013:0807) を追加
  [2013年10月31日]
    ベンダ情報：オラクル (CVE-2013-1619 Cryptographic Issues vulnerability in GnuTLS) を追加