PT-2024-6157 · Wolfssl+2 · Wolfssl+2
Berk Sunar
+2
·
Publicado
2024-05-14
·
Atualizado
2025-07-22
·
CVE-2024-5288
CVSS v3.1
5.1
Média
| Vetor | AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do wolfSSL anteriores à 5.7.0
Descrição
Foi descoberta uma falha no wolfSSL que leva à divulgação da chave ECDSA por meio de um ataque de erro seguro usando Rowhammer, conhecido como FAULT+PROBE. Quando
WOLFSSL CHECK SIG FAULTS é usado em operações de assinatura com chaves ECC privadas, como em conexões TLS do lado do servidor, a conexão é interrompida se ocorrer qualquer falha. A taxa de sucesso em uma determinada quantidade de solicitações de conexão pode ser processada por meio de uma técnica avançada para recuperação de chaves ECDSA.Recomendações
Para resolver o problema, atualize para a versão 5.7.0 ou posterior do wolfSSL.
Como solução temporária, considere desativar o uso de
WOLFSSL CHECK SIG FAULTS em operações de assinatura com chaves ECC privadas até que um patch esteja disponível.Restrinja o acesso a conexões TLS do lado do servidor para minimizar o risco de exploração.
Evite usar chaves ECC privadas em operações de assinatura até que o problema seja resolvido.
Correção
Insecure Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Wolfssl