Mga tigdukiduki gikan sa Unibersidad. Masaryk
Ang labing ilado nga mga proyekto nga naapektuhan sa gisugyot nga pamaagi sa pag-atake mao ang OpenJDK/OracleJDK (CVE-2019-2894) ug ang librarya.
Ang problema naayo na sa mga pagpagawas sa libgcrypt 1.8.5 ug wolfCrypt 4.1.0, ang nahabilin nga mga proyekto wala pa nakamugna og mga update. Mahimo nimong masubay ang ayo alang sa pagkahuyang sa libgcrypt nga pakete sa mga pag-apod-apod sa kini nga mga panid:
Mga kahuyangan
libkcapi gikan sa Linux kernel, Sodium ug GnuTLS.
Ang problema tungod sa abilidad sa pagtino sa mga kantidad sa indibidwal nga mga bit sa panahon sa scalar multiplication sa elliptic curve operations. Ang dili direkta nga mga pamaagi, sama sa pagbanabana sa paglangan sa pagkalkula, gigamit sa pagkuha sa gamay nga impormasyon. Ang usa ka pag-atake nanginahanglan walay pribilihiyo nga pag-access sa host diin ang digital nga pirma gihimo (dili
Bisan pa sa gamay nga gidak-on sa pagtulo, alang sa ECDSA ang pag-ila bisan sa pipila ka mga piraso nga adunay kasayuran bahin sa inisyal nga vector (nonce) igo na aron mahimo ang usa ka pag-atake aron sunud-sunod nga mabawi ang tibuuk nga pribado nga yawe. Sumala sa mga tagsulat sa pamaagi, aron malampuson nga mabawi ang usa ka yawe, igo na ang pag-analisa sa pila ka gatos hangtod pila ka libo nga digital nga pirma nga gihimo alang sa mga mensahe nga nahibal-an sa tig-atake. Pananglitan, 90 ka libo nga digital nga pirma ang gisusi gamit ang secp256r1 elliptic curve aron mahibal-an ang pribadong yawe nga gigamit sa Athena IDProtect smart card base sa Inside Secure AT11SC chip. Ang kinatibuk-ang oras sa pag-atake maoy 30 minutos.
Source: opennet.ru