Лог

ASA-201806-10 отредактировано 11 фев 2021 06:36:29
Влияние
+ Непривилегированный пользователь может получить закрытые ключи на затронутый хост.
ASA-201806-10 создано 11 фев 2021 06:35:23
AVG-16 создано 11 фев 2021 06:35:21
Пакеты
+ libgcrypt
Проблемы
+ CVE-2018-0495
Статус
+ Исправлено
Уровень
+ Высокий
Затронуто
+ 1.8.2-1
Исправлено
+ 1.8.3-1
Тикет
Квалифицированная рекомендация
+ Да
Рекомендации
Примечания
CVE-2018-0495 создано 11 фев 2021 06:33:57
Уровень
+ Высокий
Удалённо
+ Локальный
Тип
+ Восстановление закрытого ключа
Описание
+ Недостаток реализации был обнаружен в нескольких криптографических библиотеках, что позволяет злоумышленнику, использующему побочный канал, восстанавливать закрытые ключи ECDSA или DSA. Когда эти криптографические библиотеки используют закрытый ключ для создания подписи, например, для соединения TLS или SSH, они непреднамеренно пропускают информацию через кеши памяти. Непривилегированный злоумышленник, работающий на той же машине, может собрать информацию из нескольких тысяч подписей и восстановить значение закрытого ключа.
Рекомендации
+ https://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=commitdiff;h=9010d1576e278a4274ad3f4aa15776c28f6ba965;hp=7b6c2afd699e889f5f054cc3d202a61bd0ee1dcf
+ https://lists.gnupg.org/pipermail/gnupg-announce/2018q2/000426.html
+ https://www.nccgroup.trust/us/our-research/technical-advisory-return-of-the-hidden-number-problem/
Примечания
ASA-202101-45 отредактировано 29 янв 2021 11:26:08
Влияние
+ Злоумышленник может выполнить произвольный код на пораженном узле до того, как данная подпись будет проверена.
ASA-202101-45 создано 29 янв 2021 11:24:48
AVG-15 создано 29 янв 2021 11:24:37
Пакеты
+ libgcrypt
Проблемы
+ CVE-2021-3345
Статус
+ Исправлено
Уровень
+ Критический
Затронуто
+ 1.9.0-2
Исправлено
+ 1.9.1-1
Тикет
Квалифицированная рекомендация
+ Да
Рекомендации
Примечания
CVE-2021-3345 создано 29 янв 2021 11:19:36
Уровень
+ Критический
Удалённо
+ Локальный
Тип
+ Выполнение произвольного кода
Описание
+ _gcry_md_block_write в cipher / hash-common.c в libgcrypt версии 1.9.0 имеет переполнение буфера на основе кучи, когда финальная функция дайджеста устанавливает большое значение счетчика. Простое дешифрование некоторых данных может привести к переполнению буфера кучи данными, контролируемыми злоумышленником, никакая проверка или подпись не проверяются до возникновения уязвимости. Проблема исправлена ​​в версии 1.9.1.
Рекомендации
+ https://lists.gnupg.org/pipermail/gnupg-announce/2021q1/000456.html
+ https://dev.gnupg.org/T5275
+ https://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=commitdiff;h=512c0c75276949f13b6373b5c04f7065af750b08
Примечания
ASA-202101-25 отредактировано 26 янв 2021 20:14:35
Влияние
+ Любой непривилегированный пользователь может повысить привилегии, а локальный злоумышленник может определить местоположение файлов в условиях гонки.
ASA-202101-25 создано 26 янв 2021 20:10:13
© UBLinux. Все права защищены. Разработка и дизайн UB Group.