Vulnerabilidad en OpenSSL (CVE-2011-1945)
Gravedad CVSS v2.0:
BAJA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
31/05/2011
Última modificación:
06/06/2013
Descripción
El subsistema de criptografía de curva elíptica (ECC) de OpenSSL v1.0.0d y versiones anteriores, cuando el algoritmo de firma digital de la curva elímptica(ECDSA) se utiliza para el conjunto de cifrado ECDHE_ECDSA, no aplica adecuadamente las curvas sobre campos binarios, lo que hace que sea más fácil para el atacantes dependientes del contexto determinar las claves privadas a través de un ataque de oportunidad y un cálculo del entramado (lattice).
Impacto
Puntuación base 2.0
2.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* | 1.0.0d (incluyendo) | |
cpe:2.3:a:openssl:openssl:0.9.1c:*:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.2b:*:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.3a:*:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.4:*:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.5:*:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.5:beta1:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.5:beta2:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.5a:*:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.5a:beta1:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.5a:beta2:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.6:*:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.6:beta1:*:*:*:*:*:* | ||
cpe:2.3:a:openssl:openssl:0.9.6:beta2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://eprint.iacr.org/2011/232.pdf
- http://lists.apple.com/archives/security-announce/2013/Jun/msg00000.html
- http://secunia.com/advisories/44935
- http://support.apple.com/kb/HT5784
- http://www.debian.org/security/2011/dsa-2309
- http://www.kb.cert.org/vuls/id/536044
- http://www.kb.cert.org/vuls/id/MAPG-8FENZ3
- http://www.mandriva.com/security/advisories?name=MDVSA-2011%3A136
- http://www.mandriva.com/security/advisories?name=MDVSA-2011%3A137
- https://hermes.opensuse.org/messages/8760466
- https://hermes.opensuse.org/messages/8764170