විශ්ව විද්යාලයේ පර්යේෂකයන්. මසාරික්
යෝජිත ප්රහාරක ක්රමයට බලපාන වඩාත් ප්රසිද්ධ ව්යාපෘති වන්නේ OpenJDK/OracleJDK (CVE-2019-2894) සහ පුස්තකාලයයි.
ගැටළුව දැනටමත් libgcrypt 1.8.5 සහ wolfCrypt 4.1.0 නිකුතු වල නිරාකරණය කර ඇත, ඉතිරි ව්යාපෘති තවමත් යාවත්කාලීන ජනනය කර නොමැත. ඔබට මෙම පිටුවල බෙදාහැරීම් වල libgcrypt පැකේජයේ ඇති දුර්වලතාවය සඳහා නිවැරදි කිරීම නිරීක්ෂණය කළ හැක:
අවදානම්
ලිනක්ස් කර්නලය, සෝඩියම් සහ GnuTLS වෙතින් libkcapi.
ඉලිප්සීය වක්ර මෙහෙයුම් වලදී අදිශ ගුණ කිරීමේදී තනි බිටු වල අගයන් තීරණය කිරීමේ හැකියාව නිසා ගැටළුව ඇතිවේ. බිට් තොරතුරු උකහා ගැනීම සඳහා ගණනය කිරීමේ ප්රමාදය ඇස්තමේන්තු කිරීම වැනි වක්ර ක්රම භාවිතා කරයි. ප්රහාරයක් සඳහා ඩිජිටල් අත්සන ජනනය කර ඇති ධාරකයට වරප්රසාද රහිත ප්රවේශයක් අවශ්ය වේ (නොවේ
කාන්දුවේ සුළු ප්රමාණය තිබියදීත්, ECDSA සඳහා ආරම්භක දෛශිකය (නොන්ස්) පිළිබඳ තොරතුරු සහිත බිටු කිහිපයක් පවා හඳුනා ගැනීම ප්රහාරයක් සිදු කිරීමට ප්රමාණවත් වන්නේ සම්පූර්ණ පුද්ගලික යතුර අනුක්රමිකව ප්රතිසාධනය කිරීමටයි. ක්රමයේ කතුවරුන්ට අනුව, යතුරක් සාර්ථකව ප්රතිසාධනය කිරීම සඳහා, ප්රහාරකයා දන්නා පණිවිඩ සඳහා ජනනය කරන ලද ඩිජිටල් අත්සන් සිය ගණනක සිට දහස් ගණනක විශ්ලේෂණයක් ප්රමාණවත් වේ. උදාහරණයක් ලෙස, Inside Secure AT90SC චිපය මත පදනම්ව Athena IDProtect ස්මාර්ට් කාඩ්පතේ භාවිතා කරන පුද්ගලික යතුර තීරණය කිරීම සඳහා secp256r1 ඉලිප්සීය වක්රය භාවිතයෙන් ඩිජිටල් අත්සන් 11 දහසක් විශ්ලේෂණය කරන ලදී. මුළු ප්රහාරක කාලය මිනිත්තු 30 කි.
මූලාශ්රය: opennet.ru