يونيورسٽي مان محقق. مسرڪ
سڀ کان وڌيڪ معروف پروجيڪٽ جيڪي متاثر ٿيا آهن تجويز ڪيل حملي جي طريقي سان OpenJDK/OracleJDK (CVE-2019-2894) ۽ لائبريري
مسئلو اڳ ۾ ئي حل ڪيو ويو آهي libgcrypt 1.8.5 ۽ wolfCrypt 4.1.0 جي رليز ۾، باقي پروجيڪٽ اڃا تائين اپڊيٽ پيدا نه ڪيا آهن. توهان انهن صفحن تي تقسيم ۾ libgcrypt پيڪيج ۾ خطري جي حل کي ٽريڪ ڪري سگهو ٿا:
ڪمزوريون
libkcapi لينڪس ڪرنل، سوڊيم ۽ GnuTLS کان.
مسئلو ايليپيٽڪ وکر جي عملن ۾ اسڪيلر ضرب جي دوران انفرادي بٽ جي قيمتن کي طئي ڪرڻ جي صلاحيت جي ڪري پيدا ٿئي ٿو. اڻ سڌريل طريقا، جهڙوڪ حسابي دير جو اندازو لڳائڻ، بٽ معلومات کي ڪڍڻ لاء استعمال ڪيو ويندو آهي. هڪ حملي کي ميزبان تائين غير امتيازي رسائي جي ضرورت آهي جنهن تي ڊجيٽل دستخط ٺاهيل آهي (نه
ليڪ جي غيرمعمولي سائيز جي باوجود، ECDSA لاءِ شروعاتي ویکٹر (نونس) بابت معلومات سان گڏ ڪجھ بِٽس جي به پتو لڳائڻ ڪافي آهي ته حملي کي مڪمل طور تي پوري پرائيويٽ ڪنجي کي بحال ڪرڻ لاءِ. طريقي جي مصنفن جي مطابق، ڪاميابيءَ سان چاٻي کي بحال ڪرڻ لاءِ، حملي آور کي سڃاتل پيغامن لاءِ ٺاهيل ڪيترن سؤ کان هزارين ڊجيٽل دستخطن جو تجزيو ڪافي آهي. مثال طور، 90 هزار ڊجيٽل دستخطن جو تجزيو ڪيو ويو secp256r1 elliptic curve استعمال ڪندي ايٿينا IDProtect سمارٽ ڪارڊ تي استعمال ٿيل پرائيويٽ ڪيچ جو تعين ڪرڻ لاءِ Inside Secure AT11SC چپ جي بنياد تي. مجموعي حملي جو وقت 30 منٽ هو.
جو ذريعو: opennet.ru