ASA-201806-10 лог внешний источник raw-данные

[ASA-201806-10] libgcrypt: восстановление закрытого ключа
Рекомендация по безопасности UBLinux ASA-201806-10 ================================================== Уровень : Высокий Дата : 2018-06-16 CVE-ID : CVE-2018-0495 Пакет : libgcrypt Тип : восстановление закрытого ключа Удалённо : Нет Ссылка : https://security.ublinux.ru/AVG-16 Сводка ======= Пакет libgcrypt до версии 1.8.3-1 имеет уязвимость восстановление закрытого ключа. Решение ========== Обновление до версии 1.8.3-1. # pacman -Syu "libgcrypt>=1.8.3-1" Проблема устранена в апстриме в версии 1.8.3. Путь для обхода ========== Нет. Описание =========== Недостаток реализации был обнаружен в нескольких криптографических библиотеках, что позволяет злоумышленнику, использующему побочный канал, восстанавливать закрытые ключи ECDSA или DSA. Когда эти криптографические библиотеки используют закрытый ключ для создания подписи, например, для соединения TLS или SSH, они непреднамеренно пропускают информацию через кеши памяти. Непривилегированный злоумышленник, работающий на той же машине, может собрать информацию из нескольких тысяч подписей и восстановить значение закрытого ключа. Влияние ====== Непривилегированный пользователь может получить закрытые ключи на затронутый хост. Рекомендации ========== https://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=commitdiff;h=9010d1576e278a4274ad3f4aa15776c28f6ba965;hp=7b6c2afd699e889f5f054cc3d202a61bd0ee1dcf https://lists.gnupg.org/pipermail/gnupg-announce/2018q2/000426.html https://www.nccgroup.trust/us/our-research/technical-advisory-return-of-the-hidden-number-problem/ https://security.ublinux.ru/CVE-2018-0495
© UBLinux. Все права защищены. Разработка и дизайн UB Group.