PT-2020-16912 · Legion Of The Bouncy Castle · Legion Of The Bouncy Castle Bc
Publicado
2020-12-18
·
Atualizado
2024-06-15
·
CVE-2020-28052
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Legion of the Bouncy Castle BC Java, versões 1.65 a 1.66
Descrição
Foi descoberta uma falha no método do utilitário OpenBSDBCrypt.checkPassword, que comparava dados incorretos ao verificar a senha. Isso permitia que senhas incorretas fossem identificadas como correspondentes a senhas previamente hashadas que eram diferentes. A vulnerabilidade pode ser explorada para contornar a autenticação, potencialmente dando a um invasor acesso a contas de usuário ou de administrador. Estima-se que 20% das senhas possam ser quebradas nas primeiras mil tentativas.
Recomendações
Para as versões 1.65 e 1.66, atualize para a versão 1.67 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso a áreas confidenciais do aplicativo até que a atualização possa ser aplicada.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Legion Of The Bouncy Castle Bc