Все бюллетени/p8/ALT-PU-2018-2670-1
ALT-PU-2018-2670-1

Обновление пакета libgcrypt в ветке p8

Версия1.8.3-alt3
Задание#214131
Опубликовано2018-11-21
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (7)

BDU:2018-00007
MEDIUM6.1

Уязвимость библиотеки libgcrypt11, связанная с отсутствием защиты служебных данных, позволяющая нарушителю нарушить конфиденциальность данных

Опубликовано: 2018-01-12Изменено: 2022-12-07
CVSS 3.xСРЕДНЯЯ 6.1
CVSS:3.x/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N
CVSS 2.0СРЕДНЯЯ 4.9
CVSS:2.0/AV:N/AC:H/Au:S/C:C/I:N/A:N
Ссылки
BDU:2019-00510
MEDIUM4.7

Уязвимость функции _gcry_ecc_ecdsa_sign криптографической библиотеки Libgcrypt, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2019-02-07Изменено: 2021-03-23
CVSS 3.xСРЕДНЯЯ 4.7
CVSS:3.x/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
CVSS 2.0СРЕДНЯЯ 4.7
CVSS:2.0/AV:L/AC:M/Au:N/C:C/I:N/A:N
Ссылки
BDU:2020-01023
HIGH7.5

Уязвимость компонента cipher/elgamal.c криптографической библиотеки Libgcrypt, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2020-03-13Изменено: 2023-03-28
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N
Ссылки
CVE-2017-0379
HIGH7.5

Libgcrypt before 1.8.1 does not properly consider Curve25519 side-channel attacks, which makes it easier for attackers to discover a secret key, related to cipher/ecc.c and mpi/ec.c.

Опубликовано: 2017-08-29Изменено: 2025-04-20
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Ссылки
CVE-2017-7526
MEDIUM6.8

libgcrypt before version 1.7.8 is vulnerable to a cache side-channel attack resulting into a complete break of RSA-1024 while using the left-to-right method for computing the sliding-window expansion. The same attack is believed to work on RSA-2048 with moderately more computation. This side-channel requires that attacker can run arbitrary software on the hardware where the private RSA key is used.

Опубликовано: 2018-07-26Изменено: 2024-11-21
CVSS 2.0СРЕДНЯЯ 4.3
CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS 3.xСРЕДНЯЯ 6.8
CVSS:3.x/CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
Ссылки
CVE-2018-0495
MEDIUM4.7

Libgcrypt before 1.7.10 and 1.8.x before 1.8.3 allows a memory-cache side-channel attack on ECDSA signatures that can be mitigated through the use of blinding during the signing process in the _gcry_ecc_ecdsa_sign function in cipher/ecc-ecdsa.c, aka the Return Of the Hidden Number Problem or ROHNP. To discover an ECDSA key, the attacker needs access to either the local machine or a different virtual machine on the same physical host.

Опубликовано: 2018-06-13Изменено: 2024-11-21
CVSS 2.0НИЗКАЯ 1.9
CVSS:2.0/AV:L/AC:M/Au:N/C:P/I:N/A:N
CVSS 3.xСРЕДНЯЯ 4.7
CVSS:3.x/CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Ссылки
CVE-2018-6829
HIGH7.5

cipher/elgamal.c in Libgcrypt through 1.8.2, when used to encrypt messages directly, improperly encodes plaintexts, which allows attackers to obtain sensitive information by reading ciphertext data (i.e., it does not have semantic security in face of a ciphertext-only attack). The Decisional Diffie-Hellman (DDH) assumption does not hold for Libgcrypt's ElGamal implementation.

Опубликовано: 2018-02-07Изменено: 2024-11-21
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Ссылки

Закрытые ошибки (1)

Ошибка #34383

включить описание хэш функции ГОСТ Р 34.11-2012 (Стрибог)