PT-2022-27849 · Mbed Tls+2 · Mbed Tls+2
Sharad Sinha
+3
·
Publicado
2022-12-15
·
Atualizado
2026-06-05
·
CVE-2022-46392
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Mbed TLS anteriores à 2.28.2
Versões 3.x do Mbed TLS anteriores à 3.3.0
Descrição
Uma falha permite que um invasor com acesso a informações suficientemente precisas sobre os acessos à memória recupere uma chave privada RSA após observar a vítima realizando uma única operação com a chave privada. Isso é possível se o tamanho da janela usado para a exponenciação for 3 ou menor, especificamente quando
MBEDTLS MPI WINDOW SIZE estiver definido como 3 ou menor. O ataque normalmente envolve um sistema operacional não confiável atacando um enclave seguro.Recomendações
Para versões do Mbed TLS anteriores à 2.28.2, atualize para a versão 2.28.2 ou posterior.
Para versões 3.x do Mbed TLS anteriores à 3.3.0, atualize para a versão 3.3.0 ou posterior.
Como solução temporária, considere aumentar o
MBEDTLS MPI WINDOW SIZE para um valor maior que 3 para minimizar o risco de exploração.Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Mbed Tls