ವಿಶ್ವವಿದ್ಯಾಲಯದ ಸಂಶೋಧಕರು. ಮಸಾರಿಕ್
ಪ್ರಸ್ತಾವಿತ ದಾಳಿ ವಿಧಾನದಿಂದ ಪ್ರಭಾವಿತವಾಗಿರುವ ಅತ್ಯಂತ ಪ್ರಸಿದ್ಧ ಯೋಜನೆಗಳೆಂದರೆ OpenJDK/OracleJDK (CVE-2019-2894) ಮತ್ತು ಲೈಬ್ರರಿ
libgcrypt 1.8.5 ಮತ್ತು wolfCrypt 4.1.0 ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಈಗಾಗಲೇ ಪರಿಹರಿಸಲಾಗಿದೆ, ಉಳಿದ ಯೋಜನೆಗಳು ಇನ್ನೂ ನವೀಕರಣಗಳನ್ನು ರಚಿಸಿಲ್ಲ. ಈ ಪುಟಗಳಲ್ಲಿನ ವಿತರಣೆಗಳಲ್ಲಿ libgcrypt ಪ್ಯಾಕೇಜ್ನಲ್ಲಿನ ದುರ್ಬಲತೆಯ ಪರಿಹಾರವನ್ನು ನೀವು ಟ್ರ್ಯಾಕ್ ಮಾಡಬಹುದು:
ದುರ್ಬಲತೆಗಳು
ಲಿನಕ್ಸ್ ಕರ್ನಲ್, ಸೋಡಿಯಂ ಮತ್ತು GnuTLS ನಿಂದ libkcapi.
ಎಲಿಪ್ಟಿಕ್ ಕರ್ವ್ ಕಾರ್ಯಾಚರಣೆಗಳಲ್ಲಿ ಸ್ಕೇಲಾರ್ ಗುಣಾಕಾರದ ಸಮಯದಲ್ಲಿ ಪ್ರತ್ಯೇಕ ಬಿಟ್ಗಳ ಮೌಲ್ಯಗಳನ್ನು ನಿರ್ಧರಿಸುವ ಸಾಮರ್ಥ್ಯದಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ. ಕಂಪ್ಯೂಟೇಶನಲ್ ವಿಳಂಬವನ್ನು ಅಂದಾಜು ಮಾಡುವಂತಹ ಪರೋಕ್ಷ ವಿಧಾನಗಳನ್ನು ಬಿಟ್ ಮಾಹಿತಿಯನ್ನು ಹೊರತೆಗೆಯಲು ಬಳಸಲಾಗುತ್ತದೆ. ಆಕ್ರಮಣಕ್ಕೆ ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ರಚಿಸಲಾದ ಹೋಸ್ಟ್ಗೆ ಅನಪೇಕ್ಷಿತ ಪ್ರವೇಶದ ಅಗತ್ಯವಿದೆ (ಅಲ್ಲ
ಸೋರಿಕೆಯ ಅತ್ಯಲ್ಪ ಗಾತ್ರದ ಹೊರತಾಗಿಯೂ, ಸಂಪೂರ್ಣ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಅನುಕ್ರಮವಾಗಿ ಮರುಪಡೆಯಲು ದಾಳಿಯನ್ನು ನಡೆಸಲು ಇಸಿಡಿಎಸ್ಎಗೆ ಆರಂಭಿಕ ವೆಕ್ಟರ್ (ನಾನ್ಸ್) ಬಗ್ಗೆ ಮಾಹಿತಿಯೊಂದಿಗೆ ಕೆಲವು ಬಿಟ್ಗಳ ಪತ್ತೆ ಸಾಕು. ವಿಧಾನದ ಲೇಖಕರ ಪ್ರಕಾರ, ಕೀಲಿಯನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಮರುಪಡೆಯಲು, ಆಕ್ರಮಣಕಾರರಿಗೆ ತಿಳಿದಿರುವ ಸಂದೇಶಗಳಿಗಾಗಿ ರಚಿಸಲಾದ ಹಲವಾರು ನೂರರಿಂದ ಹಲವಾರು ಸಾವಿರ ಡಿಜಿಟಲ್ ಸಹಿಗಳ ವಿಶ್ಲೇಷಣೆ ಸಾಕಾಗುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, Inside Secure AT90SC ಚಿಪ್ನ ಆಧಾರದ ಮೇಲೆ Athena IDProtect ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್ನಲ್ಲಿ ಬಳಸಲಾದ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ನಿರ್ಧರಿಸಲು secp256r1 ಎಲಿಪ್ಟಿಕ್ ಕರ್ವ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು 11 ಸಾವಿರ ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಲಾಗಿದೆ. ಒಟ್ಟು ದಾಳಿಯ ಸಮಯ 30 ನಿಮಿಷಗಳು.
ಮೂಲ: opennet.ru