PT-2021-6812 · Wolfssl+1 · Wolfssl+1
Publicado
2021-02-03
·
Atualizado
2021-07-22
·
CVE-2021-24116
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do wolfSSL anteriores à 4.6.0
Descrição
O problema está relacionado a uma vulnerabilidade de canal lateral na decodificação de arquivos PEM em base64, que permite que invasores obtenham informações sobre chaves RSA secretas por meio de um ataque de canal controlado e de canal lateral. Isso pode ser particularmente problemático em ambientes isolados que permitem a execução passo a passo, como o Intel SGX. A vulnerabilidade também está associada ao uso da funcionalidade de decodificação base64 com tempo de execução não constante, permitindo potencialmente que um invasor remoto acesse dados confidenciais.
Recomendações
Para versões do wolfSSL anteriores à 4.6.0, atualize para a versão 4.6.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de decodificação base64 para minimizar o risco de exploração.
Exploit
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Wolfssl