FERRAMENTAS LINUX: Atualização de segurança do Mageia para o mumble, aviso Mageia 2020-0315

domingo, 16 de agosto de 2020

Atualização de segurança do Mageia para o mumble, aviso Mageia 2020-0315



Confira !!


O pacote mumble atualizado corrige a vulnerabilidade de segurança: OCB2 é conhecido por ser quebrado sob certas condições: https://eprint.iacr.org/2019/311
MGASA-2020-0315 - Pacotes mumble atualizados corrigem vulnerabilidade de segurança

Data de publicação: 16 de agosto de 2020
URL: https://advisories.mageia.org/MGASA-2020-0315.html
Tipo: segurança
Lançamentos afetados da Mageia: 7

O pacote mumble atualizado corrige a vulnerabilidade de segurança:


OCB2 é conhecido por ser quebrado sob certas condições:
https://eprint.iacr.org/2019/311

Para executar os ataques universais descritos no artigo, um invasor
precisa de acesso a um oráculo de criptografia que permite realizar a criptografia
consultas com o nonce escolhido pelo invasor. Felizmente no Mumble o nonce de criptografia
é um contador fixo que é muito restritivo para os ataques universais
para ser viável contra Mumble.

Os ataques básicos não requerem um nonce escolhido pelo invasor e, como tal, são
mais aplicável a Mumble. Eles são, no entanto, de uso limitado e requerem
um oráculo de criptografia e decriptografia que o Mumble aparentemente não fornece em
o mesmo tempo.

Para estar no lado seguro, este commit implementa a contra-criptoanálise
medida descrita no artigo na seção 9 para o remetente e o destinatário.
Desta forma, se qualquer servidor ou cliente for corrigido, sua comunicação é quase
certamente (apenas faltando prova formal) não suscetível aos ataques descritos
No papel.


Corrigido: exploração potencial na criptografia OCB2 (# 4227)

Referências:
- https://bugs.mageia.org/show_bug.cgi?id=26746
- https://github.com/mumble-voip/mumble/issues/4219
- https://github.com/mumble-voip/mumble/pull/4227

SRPMS:
- 7 / core / mumble-1.3.2-1.mga7

Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário