Fale Conosco |
RSS |
Twitter |
Facebook |
SlideShare
Vulnerabilidade no OpenSSL
18 de maio de 2011
| Share |
|
« Voltar para as notícias do dia
O US-CERT publicou uma nota tratando de uma vulnerabilidade no OpenSSL, relativa ao vazamento de uma chave privada ECDSA através de um ataque remoto. Segue o resumo da notificação:
Visão geral: A implementação do OpenSSL para multiplicação escalar de pontos numa curva elíptica, por campos binários, está suscetível a uma vulnerabilidade de timming attack. Essa vulnerabilidade pode ser usada para roubar a chave privada de um servidor TLS que autentica com assinaturas ECDSA e curvas binárias.
I. Descrição: O paper “Remote Timming Attacks are Still Practical“, de Billy Bob Brumley e Nicola Tuveri, descreve a vulnerabilidade. Usando o timming das mensagens trocadas, as próprias mensagens, e as assinaturas, é possível montar um tipo de ataque que recupera a chave privada.
II. Impacto: Um atacante remoto pode recuperar a chave de um servidor TLS que autentica com assinaturas ECDSA e curvas binárias.
III. Solução: Ainda não há solução prática conhecida para esse problema. Não use assinaturas ECDSA e curvas binárias para autenticação.
Via: Vulnerability Note VU#536044
Posts Relacionados
Correção de vulnerabilidades no Wireshark
Do vírus aos attack toolkits - 25 anos de malware em PCs
CERT.org divulga novidades de seu "Controle de Ameaças Internas"
« Voltar para as notícias do dia
