FERRAMENTAS LINUX: Atualização de segurança do ArchLinux para o mbedtls: private key recovery, aviso ArchLinux: 202007-5

sexta-feira, 31 de julho de 2020

Atualização de segurança do ArchLinux para o mbedtls: private key recovery, aviso ArchLinux: 202007-5


Confira !!



O pacote mbedtls anterior à versão 2.16.7-1 é vulnerável à recuperação de chave privada.
Comunicado de Segurança do Arch Linux ASA-202007-5
=========================================

Gravidade: média
Data: 2020-07-31
CVE-ID: CVE-2020-10932
Pacote: mbedtls
Tipo: recuperação de chave privada
Remoto: Não
Link: https://security.archlinux.org/AVG-1141

Resumo
=======

O pacote mbedtls anterior à versão 2.16.7-1 é vulnerável a privado
recuperação de chave.

Resolução
==========

Atualize para 2.16.7-1.

# pacman -Syu "mbedtls> = 2.16.7-1"

O problema foi corrigido na versão 2.16.7.

Gambiarra
==========

Nenhum.

Descrição
===========

Foi encontrado um ataque de canal lateral na implementação do ECDSA de
TLS Mbed anterior a 2.22.0, 2.16.6 e 2.7.15, permitindo que um invasor local
com acesso a informações precisas de tempo e acesso à memória
(normalmente, um sistema operacional não confiável que ataca um enclave seguro
como o SGX ou o mundo seguro TrustZone) para recuperar completamente um ECDSA
chave privada depois de observar várias operações de assinatura.

Impacto
======

Um invasor remoto é capaz de recuperar uma chave privada ECDSA.

Referências
==========

https://tls.mbed.org/tech-updates/security-advisories/mbedtls-security-advisory-2020-04
https://security.archlinux.org/CVE-2020-10932


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário