Come verificare se la mia versione di OpenSSL è vulnerabile a CVE-2016-7056 (Attacco di sincronizzazione con recupero chiave EC-P-256)

1

L'applicazione che sto testando contiene la versione "1.0.1e-fips" di OpenSSL.

Mi sono imbattuto in questa vulnerabilità CVE-2016-7056 (ECDSA P-256 Key Recovery Timing Attack) e non sono riuscito a trovare un modo per verificare se il nostro OpenSSL è vulnerabile a questo attacco. Sono curioso di sapere come / i passaggi per verificare questa vulnerabilità per la nostra applicazione.

    
posta Sai Dutt Mekala 04.04.2017 - 11:14
fonte

2 risposte

1

Controlla la tua versione di ssl aperta openssl --version

Di seguito sono elencate le versioni interessate.

Versioni interessate: OpenSSL 1.0.1u e versioni precedenti LibreSSL (pre 6.0 errata 16, pre 5.9 errata 33) BoringSSL pre novembre 2015

Mitigazione: Si dovrebbero applicare gli utenti di OpenSSL con le versioni interessate la patch disponibile nel manoscritto su [1].

Gli utenti di LibreSSL dovrebbero applicare la patch ufficiale di OpenBSD [2,3].

Gli utenti di BoringSSL devono eseguire l'aggiornamento a una versione più recente.

    
risposta data 02.08.2017 - 16:31
fonte
0

Se sei davvero disposto a rompere il tuo cervello leggendo molte cose potresti trovare un modo per scrivere il CVE in base a ciò che è scritto su questo white paper:

e questa discussione su Seclists:

Buona fortuna

    
risposta data 04.04.2017 - 14:26
fonte

Leggi altre domande sui tag