BDU:2019-00510
ООО «Юбитех», Canonical Ltd., Werner Koch, Сообщество свободного программного обеспечения, ООО «РусБ UBLinux, Libgcrypt, Astra Linux Special Edition, Oracle Traffic Director, Ubuntu, Debian GNU/Linux
2018-06-13
Уязвимость функции _gcry_ecc_ecdsa_sign («cipher/ecc-ecdsa.c») криптографической библиотеки Libgcrypt связана с возможностью подбора вероятных значений базовых параметров очередной цифровой подписи путем перебора значений кэша и оценки времени выполнения математических вычислений, что может позволить воссоздать применяемые для создания цифровой подписи закрытые ключи ECDSA и DSA. Эксплуатация уязвимости может позволить нарушителю, обладающему доступом к локальной машине, либо к другой виртуальной машине на том же физическом узле, получить несанкционированный доступ к защищаемой информации
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Libgcrypt: Обновление программного обеспечения до 1.8.3 или более поздней версии
Для Astra Linux: Обновление программного обеспечения (пакета libgcrypt20) до 1.6.3-2+deb8u5 или более поздней версии
Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2018/06/msg00013.html
Для Ubuntu: https://usn.ubuntu.com/3689-1/ https://usn.ubuntu.com/3689-2/
Для программных продуктов Oracle Corp.: https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Для UBLinux: https://security.ublinux.ru/ASA-201806-10/generate