検出

FreeBSD:gnupg -- 低帯域幅音響暗号解析攻撃を介する RSA 鍵抽出(2e5715f8-67f7-11e3-9811-b499baab0cbe)

low Nessus プラグイン ID 71529

Language:

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

Werner Koch 氏による報告:

CVE-2013-4576 がこのセキュリティバグに割り当てられました。

文書で 2 つの攻撃が説明されています。最初の攻撃ではキーを見分けることができます。攻撃者は、現在復号化のためにどのキーが使用されているかを知ることができます。これは一般には問題ではありませんが、一般に使用されない鍵で暗号化されたメッセージを、標的にされたマシンが受信したという情報を漏洩させるために利用できます。この攻撃を緩和するソフトウェアソリューションは我々にはありません。

2 番目の攻撃はより深刻です。これは、秘密鍵を公開する、適応的選択暗号文攻撃です。可能性のあるシナリオとして、攻撃者は、ターゲットマシンの周辺にセンサー(通常のスマートフォンなど)を配置します。そのマシンが、例えば、すぐに読まれることが想定されるメールを自身の都合の良いように復号化することで,ブラウズを高速化するメールクライアントを使用して、受信したメールの RSA 復号化を自動的に行うと仮定します。ターゲットマシンが発する音を聞きながら、スマートフォンが暗号化した新しいメッセージをそのマシンに送り、秘密鍵をビット単位で再現します。ノート PC で使用される 4096 ビットの RSA キーは、1 時間以内に漏洩する可能性があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://lists.gnupg.org/pipermail/gnupg-announce/2013q4/000337.html

http://www.nessus.org/u?5fda1442

プラグインの詳細

深刻度: Low

ID: 71529

ファイル名: freebsd_pkg_2e5715f867f711e39811b499baab0cbe.nasl

バージョン: 1.8

タイプ: local

公開日: 2013/12/19

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Low

基本値: 2.1

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:gnupg, cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:gnupg1

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2013/12/18

脆弱性公開日: 2013/12/18

参照情報

CVE: CVE-2013-4576