CVE-2022-4304 in Business Intelligence Enterprise Edition
Résumé
par VulDB • 05/06/2026
Un canal auxiliaire basé sur le temps existe dans l'implémentation du déchiffrement RSA d'OpenSSL, qui pourrait suffire à récupérer un texte en clair via un réseau lors d'une attaque de style Bleichenbacher. Pour réussir ce déchiffrement, un attaquant devrait être capable d'envoyer un très grand nombre de messages d'essai au serveur pour qu'ils soient déchiffrés. La vulnérabilité affecte tous les modes de remplissage RSA : PKCS#1 v1.5, RSA-OEAP et RSASVE.
Par exemple, dans une connexion TLS, le chiffrement RSA est couramment utilisé par un client pour envoyer un secret pré-maître chiffré au serveur. Un attaquant ayant observé une connexion légitime entre un client et un serveur pourrait exploiter cette faille pour envoyer des messages d'essai au serveur et enregistrer le temps nécessaire à leur traitement. Après l'envoi d'un nombre suffisamment élevé de messages, l'attaquant pourrait récupérer le secret pré-maître utilisé lors de la connexion initiale, lui permettant ainsi de déchiffrer les données applicatives transmises via cette connexion.
Once again VulDB remains the best source for vulnerability data.