Luchd-rannsachaidh bhon Oilthigh. Masaryk
Is e na pròiseactan as ainmeil a tha fo bhuaidh an dòigh ionnsaigh a tha san amharc OpenJDK / OracleJDK (CVE-2019-2894) agus an leabharlann
Chaidh an duilgheadas a rèiteachadh mu thràth ann an sgaoilidhean libgcrypt 1.8.5 agus wolfCrypt 4.1.0, chan eil na pròiseactan a tha air fhàgail air ùrachaidhean a chruthachadh fhathast. ’S urrainn dhut sùil a chumail air so-leòntachd a’ phacaid libgcrypt ann an sgaoilidhean air na duilleagan seo:
So-leòntachd
libkcapi bhon kernel Linux, Sòidiam agus GnuTLS.
Tha an duilgheadas air adhbhrachadh leis a’ chomas air luachan pìosan fa leth a dhearbhadh rè iomadachadh sgalar ann an gnìomhachd lùbte elliptic. Bithear a’ cleachdadh dhòighean neo-dhìreach, leithid a bhith a’ dèanamh tuairmse air dàil àireamhachd, gus fiosrachadh bit a tharraing. Feumaidh ionnsaigh ruigsinneachd gun bhuannachd don òstair air a bheil an ainm-sgrìobhte didseatach air a chruthachadh (chan eil
A dh 'aindeoin cho beag' sa tha an aodion, airson ECDSA tha lorg eadhon beagan phìosan le fiosrachadh mun vectar tòiseachaidh (nonce) gu leòr gus ionnsaigh a dhèanamh gus an iuchair phrìobhaideach gu lèir fhaighinn air ais ann an sreath. A rèir ùghdaran an dòigh, gus iuchair fhaighinn air ais gu soirbheachail, tha e gu leòr mion-sgrùdadh de ghrunn cheudan gu grunn mhìltean de ainmean didseatach a chaidh a chruthachadh airson teachdaireachdan a tha aithnichte don neach-ionnsaigh. Mar eisimpleir, chaidh 90 mìle ainm-sgrìobhte didseatach a sgrùdadh a’ cleachdadh an lùb elliptic secp256r1 gus faighinn a-mach an iuchair phrìobhaideach a chaidh a chleachdadh air cairt smart Athena IDProtect stèidhichte air a’ chip Inside Secure AT11SC. B 'e an ùine ionnsaigh iomlan 30 mionaid.
Source: fosgailtenet.ru