[TLP:CLEAR] GnuTLS 3.8.4 opravuje 2 zraniteľnosti (Key disclosure + DoS)

Kryptografická knižnica GnuTLS vyšla v stredu 20.03.2024 vo verzii 3.8.4 opravujúcej dve zraniteľnosti - jednu umožňujúcu únik ECDSA kľúča za špecifických podmienok a druhú vedúcu na pád nástroja certtool a potenciálne iných aplikácií využívajúcich knižnicu pre validáciu certifikátov. Podrobné poznámky k vydaniu sú v [4].

GnuTLS - CVE-2024-28835 (pád pri reťazi > 16) CVSS 5.0 (Medium)

Odopretie služby pri validácií reťaze X509 certifikátov s dĺžkou väčšou ako 16 [1]. Podrobnejšie technické informácie a postup reprodukcie sú v lístku [2]. Chyba sa nachádzala vo funkcii gnutls_x509_trust_list_verify_crt2(), bola opravená v rámci zmeny [3].

Zraniteľnosť sa nachádza v produkte GnuTLS vo verziách <3.8.4.

Aktualizácia na GnuTLS 3.8.4

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 3. 2024.

GnuTLS - CVE-2024-28834 (Minerva, ECDSA timing side-channel) CVSS 7.4 (High)

Zraniteľnosť nazvaná Minerva využíva časový postranný kanál v ECDSA kóde pri využití deterministrického režimu (GNUTLS_PRIVKEY_FLAG_REPRODUCIBLE) [5], umožňujúci degradáciu veľkosti nonce v rámci jednej transakcie [6] a rekonštrukciu privátneho kľúča po nazbieraní do tisíc podpisov známych správ [7].

Zraniteľnosť sa nachádza v produkte GnuTLS vo verziách <3.8.4.

Aktualizácia na GnuTLS 3.8.4

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 21. 3. 2024.


Publikoval Radko Krkoš dňa 26. 3. 2024.

CESNET CERTS Logo