JVNDB-2016-001075
|
wolfSSL における RSA 秘密鍵を取得される脆弱性
|
|
wolfSSL (旧 CyaSSL) は、サーバ側で Low メモリの最適化なしで短期(ephemeral)鍵交換を許容する場合、Chinese Remainder Theorm (CRT) プロセスに関連した障害を誤って処理するため、RSA 秘密鍵を取得される脆弱性が存在します。
本脆弱性は、別名 Lenstra 攻撃とよばれています。
補足情報 : CWE による脆弱性タイプは、CWE-19: Data Handling (データ処理) と識別されています。
http://cwe.mitre.org/data/definitions/19.html
|
|
CVSS v3 による深刻度
基本値: 5.9 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 2.6 (注意) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
MySQL AB
wolfSSL Inc.
オラクル
- MySQL 5.5.45 およびそれ以前
- MySQL 5.6.26 およびそれ以前
|
|
|
第三者により、TLS ハンドシェイクをキャプチャされることで、RSA 秘密鍵を取得される可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
MariaDB Corporation Ab.
wolfSSL Inc.
オラクル
レッドハット
|
|
- 情報不足(CWE-noinfo) [NVD評価]
|
|
- CVE-2015-7744
|
|
- National Vulnerability Database (NVD) : CVE-2015-7744
|
|
- [2016年01月22日]
掲載
[2016年01月27日]
タイトル:内容を更新
概要:内容を更新
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
想定される影響:内容を更新
ベンダ情報:wolfSSL Inc. (Two Vulnerabilities Recently Found, An Attack on RSA using CRT and DoS Vulnerability With DTLS) を追加
ベンダ情報:wolfSSL Inc. (wolfSSL (Formerly CyaSSL) Release 3.6.8 (09/17/2015)) を追加
ベンダ情報:レッドハット (Factoring RSA Keys With TLS Perfect Forward Secrecy) を追加
ベンダ情報:レッドハット (rsa-crt-leaks.pdf) を追加
CWE による脆弱性タイプ一覧:内容を更新
[2016年02月08日]
ベンダ情報:MariaDB Corporation Ab. (MariaDB 10.1.9 Release Notes) を追加
ベンダ情報:MariaDB Corporation Ab. (MariaDB 10.0.22 Release Notes) を追加
|
