Confira !!
O pacote mumble atualizado corrige a vulnerabilidade de segurança: OCB2 é conhecido por ser quebrado sob certas condições: https://eprint.iacr.org/2019/311
MGASA-2020-0315 - Pacotes mumble atualizados corrigem vulnerabilidade de segurança
Data de publicação: 16 de agosto de 2020
URL: https://advisories.mageia.org/MGASA-2020-0315.html
Tipo: segurança
Lançamentos afetados da Mageia: 7
O pacote mumble atualizado corrige a vulnerabilidade de segurança:
OCB2 é conhecido por ser quebrado sob certas condições:
https://eprint.iacr.org/2019/311
Para executar os ataques universais descritos no artigo, um invasor
precisa de acesso a um oráculo de criptografia que permite realizar a criptografia
consultas com o nonce escolhido pelo invasor. Felizmente no Mumble o nonce de criptografia
é um contador fixo que é muito restritivo para os ataques universais
para ser viável contra Mumble.
Os ataques básicos não requerem um nonce escolhido pelo invasor e, como tal, são
mais aplicável a Mumble. Eles são, no entanto, de uso limitado e requerem
um oráculo de criptografia e decriptografia que o Mumble aparentemente não fornece em
o mesmo tempo.
Para estar no lado seguro, este commit implementa a contra-criptoanálise
medida descrita no artigo na seção 9 para o remetente e o destinatário.
Desta forma, se qualquer servidor ou cliente for corrigido, sua comunicação é quase
certamente (apenas faltando prova formal) não suscetível aos ataques descritos
No papel.
Corrigido: exploração potencial na criptografia OCB2 (# 4227)
Referências:
- https://bugs.mageia.org/show_bug.cgi?id=26746
- https://github.com/mumble-voip/mumble/issues/4219
- https://github.com/mumble-voip/mumble/pull/4227
SRPMS:
- 7 / core / mumble-1.3.2-1.mga7
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário