Oluwadi lati University. Masaryk
Awọn iṣẹ akanṣe olokiki julọ ti o kan nipasẹ ọna ikọlu ti a daba ni OpenJDK/OracleJDK (CVE-2019-2894) ati ile-ikawe
Iṣoro naa ti wa titi tẹlẹ ninu awọn idasilẹ ti libgcrypt 1.8.5 ati wolfCrypt 4.1.0, awọn iṣẹ akanṣe ti o ku ko ti ṣe awọn imudojuiwọn. O le tọpa atunṣe fun ailagbara ninu package libgcrypt ni awọn pinpin lori awọn oju-iwe wọnyi:
Awọn ailagbara
libkcapi lati ekuro Linux, Sodium ati GnuTLS.
Iṣoro naa jẹ idi nipasẹ agbara lati pinnu awọn iye ti awọn ipin kọọkan lakoko isodipupo iwọn ni awọn iṣẹ iṣipopada elliptic. Awọn ọna aiṣe-taara, gẹgẹbi iṣiro idaduro iṣiro, ni a lo lati jade alaye bit. Ikọlu nilo iraye si ailagbara si agbalejo eyiti o jẹ ipilẹṣẹ ibuwọlu oni nọmba (kii ṣe
Pelu awọn insignificant iwọn ti awọn jo, fun ECDSA erin ti ani kan diẹ die-die pẹlu alaye nipa awọn initialization fekito (ko si) to lati gbe jade ohun kolu lati sequentially gba gbogbo ikọkọ bọtini. Gẹgẹbi awọn onkọwe ti ọna naa, lati gba bọtini kan pada ni aṣeyọri, itupalẹ ti ọpọlọpọ awọn ọgọọgọrun si ọpọlọpọ ẹgbẹrun awọn ibuwọlu oni nọmba ti ipilẹṣẹ fun awọn ifiranṣẹ ti a mọ si ikọlu naa to. Fun apẹẹrẹ, 90 ẹgbẹrun awọn ibuwọlu oni nọmba ni a ṣe atupale ni lilo secp256r1 elliptic curve lati pinnu bọtini ikọkọ ti a lo lori kaadi smart Athena IDProtect ti o da lori chirún Inside Secure AT11SC. Lapapọ akoko ikọlu jẹ iṣẹju 30.
orisun: opennet.ru