| CVSS 메타 임시 점수 | 현재 익스플로잇 가격 (≈) | CTI 관심 점수 |
|---|---|---|
| 3.5 | $0-$5k | 0.00 |
요약
취약점이 문제가 있는로 분류되어 OpenSSL 1.0.1f/1.0.1l에서 발견되었습니다. 영향을 받는 것은 알 수 없는 함수 컴포넌트 ECDSA의입니다. 조작 결과로 약한 암호화가 발생합니다. 이 취약점은 CVE-2014-0076로 거래되고 있습니다. 사용할 수 있는 익스플로잇이 없습니다. 이 이슈를 수정하려면 패치 적용이 필요합니다.
세부
취약점이 문제가 있는로 분류되어 OpenSSL 1.0.1f/1.0.1l에서 발견되었습니다. 영향을 받는 것은 알 수 없는 함수 컴포넌트 ECDSA의입니다. 조작 결과로 약한 암호화가 발생합니다. CWE를 사용하여 문제를 명시하면 CWE-310로 이어집니다. 이 취약점은 2014. 01. 06.에 도입되었습니다. 해당 취약점은 발표되었습니다 2014. 02. 24. Yuval Yarom and Naomi Benger에 의해 Recovering OpenSSL ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack로서 Paper로서 (웹사이트). 해당 권고문은 eprint.iacr.org에서 다운로드할 수 있습니다.
이 취약점은 CVE-2014-0076로 거래되고 있습니다. CVE가 2013. 12. 03. 에 할당되었습니다. 기술 관련 세부 정보가 없습니다. 사용할 수 있는 익스플로잇이 없습니다. 현재 대략 미화 $0-$5k 정도일 수 있습니다가 이 익스플로잇의 현재 가격입니다. MITRE ATT&CK 프로젝트는 T1600 공격 기술을 선언합니다. 권고문에서는 다음과 같이 지적하고 있습니다:
We illustrate a vulnerability introduced to elliptic curve cryptographic protocols when implemented using a function of the OpenSSL cryptographic library. For the given implementation using an elliptic curve E over a binary field with a point G \in E, our attack recovers the majority of the bits of a scalar k when kG is computed using the OpenSSL implementation of the Montgomery ladder. For the Elliptic Curve Digital Signature Algorithm (ECDSA) the scalar k is intended to remain secret. Our attack recovers the scalar k and thus the secret key of the signer and would therefore allow unlimited forgeries. This is possible from snooping on only one signing process and requires computation of less than one second on a quad core desktop when the scalar k (and secret key) is around 571 bits.
해당 취약점은 적어도 49일간 공개되지 않은 제로데이로 관리되었습니다. 0-day 취약점의 추정 암시장 가격은 $25k-$100k로 나타났습니다. Nessus는 74288라는 플러그인 ID를 가진 플러그인을 제공합니다. 일반 패밀리에 할당되어 있습니다. 플러그인이 l 타입의 컨텍스트에서 동작 중입니다. 이 포트(0)에 의존합니다. 상용 취약점 스캐너 Qualys는 이 문제를 175900 플러그인으로 테스트할 수 있습니다 (Debian Security Update for openssl (DSA 2908-1)).
해당 패치의 명칭은 Fix for CVE-2014-0076입니다. 버그 수정은 github.com에서 다운로드할 수 있습니다. 이 이슈를 수정하려면 패치 적용이 필요합니다. 취약점이 공개된 후 3 개월 후에 가능한 완화 조치가 발표되었습니다.
이 취약점은 다른 취약점 데이터베이스에서도 확인할 수 있습니다: SecurityFocus (BID 66363), X-Force (91990), Secunia (SA57091), SecurityTracker (ID 1030027) , Tenable (74288).
영향 있음
- McAfee Web Gateway 까지 7.3.2.10/7.4.2.1
제품
유형
이름
버전
특허
지원하다
- end of life (old version)
웹사이트
CPE 2.3
CPE 2.2
CVSSv4
VulDB 벡터: 🔍VulDB 신뢰성: 🔍
CVSSv3
VulDB 메타 베이스 점수: 4.0VulDB 메타 임시 점수: 3.5
VulDB 기본 점수: 4.0
VulDB 임시 점수: 3.5
VulDB 벡터: 🔍
VulDB 신뢰성: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 벡터 | 복잡성 | 인증 | 기밀성 | 진실성 | 유효성 |
|---|---|---|---|---|---|
| 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 |
| 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 |
| 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 |
VulDB 기본 점수: 🔍
VulDB 임시 점수: 🔍
VulDB 신뢰성: 🔍
NVD 기본 점수: 🔍
악용
수업: 약한 암호화CWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
물리적인: 부분적으로
현지: 네
원격: 아니요
유효성: 🔍
상태: 입증되지 않음
EPSS Score: 🔍
EPSS Percentile: 🔍
가격 예측: 🔍
현재 가격 추정: 🔍
| 0-Day | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 |
|---|---|---|---|---|
| 오늘 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 |
Nessus ID: 74288
Nessus 이름: IBM Global Security Kit 7 < 7.0.4.50 / 8.0.14.x < 8.0.14.43 / 8.0.50.x < 8.0.50.20 Multiple Vulnerabilities (Linux)
Nessus 파일: 🔍
Nessus 위험: 🔍
Nessus 가족: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 702908
OpenVAS 이름: Debian Security Advisory DSA 2908-1 (openssl - security update
OpenVAS 파일: 🔍
OpenVAS 가족: 🔍
Qualys ID: 🔍
Qualys 이름: 🔍
위협 인텔리전스
관심: 🔍활성 배우: 🔍
활성 APT 그룹: 🔍
대책
추천: 패치상태: 🔍
반응 시간: 🔍
0일 시간: 🔍
노출 시간: 🔍
패치: Fix for CVE-2014-0076
타임라인
2013. 12. 03. 🔍2014. 01. 06. 🔍
2014. 02. 24. 🔍
2014. 02. 24. 🔍
2014. 03. 21. 🔍
2014. 03. 25. 🔍
2014. 03. 25. 🔍
2014. 04. 08. 🔍
2014. 05. 01. 🔍
2014. 06. 03. 🔍
2019. 05. 03. 🔍
출처
제품: openssl.org권고: Recovering OpenSSL ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack
연구원: Yuval Yarom, Naomi Benger
상태: 확인됨
확인: 🔍
CVE: CVE-2014-0076 (🔍)
GCVE (CVE): GCVE-0-2014-0076
GCVE (VulDB): GCVE-100-12686
OVAL: 🔍
IAVM: 🔍
X-Force: 91990 - OpenSSL ECDSA information disclousre, Medium Risk
SecurityFocus: 66363 - OpenSSL CVE-2014-0076 Information Disclosure Weakness
Secunia: 57091 - OpenSSL ECDSA Nonces Recovery Weakness, Not Critical
SecurityTracker: 1030027
또한 보십시오: 🔍
항목
만들어진: 2014. 03. 25. AM 09:26업데이트됨: 2019. 05. 03. AM 10:37
변경 사항: 2014. 03. 25. AM 09:26 (95), 2019. 05. 03. AM 10:37 (3)
완벽한: 🔍
Cache ID: 216:329:103
아직 댓글이 없습니다. 언어: ko + en.
댓글을 작성하려면 로그인하세요.