PT-2022-26682 · Wolfssl+1 · Wolfssl+1
Berk Sunar
+4
·
Publicado
2022-08-31
·
Atualizado
2025-05-14
·
CVE-2022-42961
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do wolfSSL anteriores à 5.5.0
Descrição
Foi descoberta uma falha no wolfSSL que permite um ataque de injeção de falhas na RAM por meio do Rowhammer, levando à divulgação de chaves ECDSA. Usuários que realizam operações de assinatura com chaves ECC privadas, como em conexões TLS do lado do servidor, podem vazar assinaturas ECC com falhas. Essas assinaturas podem ser processadas por meio de uma técnica avançada para recuperação de chaves ECDSA.
Recomendações
Para versões anteriores à 5.5.0, considere usar a opção
WOLFSSL CHECK SIG FAULTS, disponível na versão 5.5.0 e posteriores, para corrigir a vulnerabilidade.Atualize para a versão 5.5.0 ou posterior para resolver totalmente o problema.
Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Wolfssl