Дата публикации: | 10.03.2006 |
Всего просмотров: | 1889 |
Опасность: | Низкая |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2006-1115 CVE-2006-1116 CVE-2006-1117 |
Вектор эксплуатации: | Удаленная |
Воздействие: | Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
nCipher payShield
nCipher nShield nCipher netHSM nCipher Cryptographic Hardware Interface Library (CHIL) 1.x nCipher nForce nCipher KeepSecure nCipher Document Sealing Engine (DSE 200) |
Уязвимые версии: nCipher payShield nCipher nShield nCipher Document Sealing Engine (DSE 200) nCipher KeepSecure nCipher netHSM nCipher nForce nCipher Cryptographic Hardware Interface Library (CHIL) 1.x Описание: 1. Обнаружена ошибка в HSM во время выбора случайных параметров для генерации Diffie-Hellman (DH) ключей. Удаленный пользователь может получить личный ключ значительно быстрее, чем при обычной брут-форс атаке. Для удачной эксплуатации уязвимости требуется доступ к HSM и требуется, чтобы для генерации DH ключей не использовались параметры группы Oakley. 2. Ошибка дизайна в nCore API может привести к тому, что в приложении будут использоваться слабые MAC протоколы, которые передают ненулевой IV вместе с сообщением. Это может привести к тому, что уязвимое приложение, использующее nCore API, не сможет обнаружить определенные изменения в сообщении, которые CBC-MAC должен защищать. 3. Определенный функционал в firmware, предназначенный для экспериментальных целей может сгенерировать слабые ключи. Удаленный пользователь может получить личный ключ значительно быстрее, чем при обычной брут-форс атаке.
URL производителя: www.ncipher.com Решение: Установите исправленную версию (2.22.6)с сайта производителя. |
|
Ссылки: |
nCipher Advisory #12: Insecure Generation of Diffie-Hellman keys nCipher Advisory #13: CBC-MAC IV misleading programming interface nCipher Advisory #14: Presence of flaws in firmware security |