பல்கலைக்கழக ஆராய்ச்சியாளர்கள். மசாரிக்
முன்மொழியப்பட்ட தாக்குதல் முறையால் பாதிக்கப்பட்டுள்ள மிகவும் நன்கு அறியப்பட்ட திட்டங்கள் OpenJDK/OracleJDK (CVE-2019-2894) மற்றும் நூலகம் ஆகும்.
libgcrypt 1.8.5 மற்றும் wolfCrypt 4.1.0 வெளியீடுகளில் சிக்கல் ஏற்கனவே சரி செய்யப்பட்டது, மீதமுள்ள திட்டங்கள் இன்னும் மேம்படுத்தல்களை உருவாக்கவில்லை. இந்தப் பக்கங்களில் உள்ள விநியோகங்களில் libgcrypt தொகுப்பில் உள்ள பாதிப்புக்கான தீர்வை நீங்கள் கண்காணிக்கலாம்:
பாதிப்புகள்
லினக்ஸ் கர்னல், சோடியம் மற்றும் GnuTLS இலிருந்து libkcapi.
நீள்வட்ட வளைவு செயல்பாடுகளில் ஸ்கேலர் பெருக்கத்தின் போது தனிப்பட்ட பிட்களின் மதிப்புகளை தீர்மானிக்கும் திறனால் சிக்கல் ஏற்படுகிறது. பிட் தகவலைப் பிரித்தெடுக்க, கணக்கீட்டு தாமதத்தை மதிப்பிடுவது போன்ற மறைமுக முறைகள் பயன்படுத்தப்படுகின்றன. ஒரு தாக்குதலுக்கு டிஜிட்டல் கையொப்பம் உருவாக்கப்பட்ட ஹோஸ்டுக்கான சலுகையற்ற அணுகல் தேவைப்படுகிறது (இல்லை
கசிவின் சிறிய அளவு இருந்தபோதிலும், ECDSA க்கு, முழு தனிப்பட்ட விசையையும் வரிசையாக மீட்டெடுப்பதற்கு ஒரு தாக்குதலை மேற்கொள்ள, துவக்க திசையன் (நான்ஸ்) பற்றிய தகவலுடன் சில பிட்களைக் கூட கண்டறிவது போதுமானது. முறையின் ஆசிரியர்களின் கூற்றுப்படி, ஒரு விசையை வெற்றிகரமாக மீட்டெடுக்க, தாக்குபவர்களுக்குத் தெரிந்த செய்திகளுக்காக உருவாக்கப்பட்ட பல நூறு முதல் பல ஆயிரம் டிஜிட்டல் கையொப்பங்களின் பகுப்பாய்வு போதுமானது. எடுத்துக்காட்டாக, Inside Secure AT90SC சிப்பின் அடிப்படையில் Athena IDProtect ஸ்மார்ட் கார்டில் பயன்படுத்தப்படும் தனிப்பட்ட விசையைத் தீர்மானிக்க secp256r1 நீள்வட்ட வளைவைப் பயன்படுத்தி 11 ஆயிரம் டிஜிட்டல் கையொப்பங்கள் பகுப்பாய்வு செய்யப்பட்டன. மொத்த தாக்குதல் நேரம் 30 நிமிடங்கள்.
ஆதாரம்: opennet.ru