Publicerad
SR11-226 OpenSSL - ECC Private Key Information Disclosure-sårbarhet
OpenSSL är sårbart och kan medge informationsläckage. Informationen kan sedan användas för att underlätta vid framtida angrepp.
Problembeskrivning
CVE-referens: CVE-2011-4354
OpenSSL är sårbart och kan medge informationsläckage. Informationen kan sedan användas för att underlätta vid framtida angrepp.
Sårbarheten finns om ECC ("elliptic curve")-kryptografi används (F-256 och F-284). Under speciella omständigheter kan en felberäkning ske och en angripare kan utnyttja fenomenet för att få åtkomst till känslig information.
Ett attackscenario kan se ut enligt nedan:
-
En angripare lokaliserar en sårbar dator.
-
Angriparen placerar sig så att nätverkstrafik till och från den sårbara datorn kan analyseras (MiTM).
-
Angriparen analyserar trafiken och kan eventuellt ta reda på en användares privata nyckel.
Följande version är inte sårbar:
OpenSSL Project OpenSSL 0.9.8 h
Rättningar finns att tillgå, för mer information, se länkarna nedan.
Påverkade versioner
- OpenSSL Project OpenSSL 0.9.8 a
- OpenSSL Project OpenSSL 0.9.8 b
- OpenSSL Project OpenSSL 0.9.8 c
- OpenSSL Project OpenSSL 0.9.8 d
- OpenSSL Project OpenSSL 0.9.8 e
- OpenSSL Project OpenSSL 0.9.8 f
- OpenSSL Project OpenSSL 0.9.8 g