Confira !!
O pacote mbedtls anterior à versão 2.16.7-1 é vulnerável à recuperação de chave privada.
Comunicado de Segurança do Arch Linux ASA-202007-5
=========================================
Gravidade: média
Data: 2020-07-31
CVE-ID: CVE-2020-10932
Pacote: mbedtls
Tipo: recuperação de chave privada
Remoto: Não
Link: https://security.archlinux.org/AVG-1141
Resumo
=======
O pacote mbedtls anterior à versão 2.16.7-1 é vulnerável a privado
recuperação de chave.
Resolução
==========
Atualize para 2.16.7-1.
# pacman -Syu "mbedtls> = 2.16.7-1"
O problema foi corrigido na versão 2.16.7.
Gambiarra
==========
Nenhum.
Descrição
===========
Foi encontrado um ataque de canal lateral na implementação do ECDSA de
TLS Mbed anterior a 2.22.0, 2.16.6 e 2.7.15, permitindo que um invasor local
com acesso a informações precisas de tempo e acesso à memória
(normalmente, um sistema operacional não confiável que ataca um enclave seguro
como o SGX ou o mundo seguro TrustZone) para recuperar completamente um ECDSA
chave privada depois de observar várias operações de assinatura.
Impacto
======
Um invasor remoto é capaz de recuperar uma chave privada ECDSA.
Referências
==========
https://tls.mbed.org/tech-updates/security-advisories/mbedtls-security-advisory-2020-04
https://security.archlinux.org/CVE-2020-10932
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário