PT-2024-22602 · Gnutls+10 · Gnutls+10

Alicja Kario

+1

·

Publicado

2023-12-04

·

Atualizado

2025-02-03

·

CVE-2024-28834

CVSS v3.1

5.3

Média

VetorAV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
GnuTLS (versões afetadas não especificadas)
Descrição
Foi identificada uma falha no GnuTLS, conhecida como ataque Minerva, que consiste em uma vulnerabilidade criptográfica que explora o comportamento determinístico em sistemas como o GnuTLS, levando a vazamentos por canal lateral. Em cenários específicos, como ao usar o sinalizador GNUTLS PRIVKEY FLAG REPRODUCIBLE, isso pode resultar em uma redução perceptível no tamanho do nonce de 513 para 512 bits, expondo um potencial canal lateral de temporização.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Use of a Broken Cryptographic Algorithm

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-327

Identificadores relacionados

ALSA-2024:1784
ALSA-2024:1879
ALSA-2024:2570
ALT-PU-2024-4634
ALT-PU-2024-4754
ALT-PU-2024-4913
ALT-PU-2024-4977
ALT-PU-2024-6430
AZL-37084
AZL-37109
BDU:2025-08089
CESA-2024_1784
CVE-2024-28834
DLA-3875-1
INFSA-2024_2570
MGASA-2024-0089
OESA-2024-1439
OPENSUSE-SU-2024:13806-1
OPENSUSE-SU-2024_1271-1
RHSA-2024:1784
RHSA-2024:1879
RHSA-2024:1997
RHSA-2024:2044
RHSA-2024:2570
RHSA-2024:2889
RHSA-2024_1784
RHSA-2024_1879
RHSA-2024_2570
RLSA-2024:1784
RLSA-2024:2570
SUSE-SU-2024:1271-1
SUSE-SU-2024:1271-2
SUSE-SU-2024:1271-3
SUSE-SU-2024:2546-1
SUSE-SU-2024_1271-1
SUSE-SU-2024_1271-2
SUSE-SU-2025:20017-1
USN-6733-1
USN-6733-2

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Gnutls
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu