FreeBSD : cryptopp -- 複数の脆弱性(eab68cff-bc0c-11e6-b2ca-001b3856973b)
high Nessus プラグイン ID 95589
Language:
概要
リモートのFreeBSDホストに、セキュリティ関連の更新プログラムがありません。説明
Multiple sources による報告:CVE-2015-2141:libcrypt++ 5.6.2のrw.cppのInvertibleRWFunction::CalculateInverse関数がRabin-Williamsデジタル署名アルゴリズムのための秘密鍵操作を適切に隠さないために、リモートの攻撃者がタイミング攻撃を介して秘密鍵を取得する可能性があります。
5.6.3で修正。
CVE-2016-3995:Rijndaelタイミング攻撃対策の不適切な実装。5.6.4で修正。
CVE-2016-7420:- DNDEBUGなしで構築されたライブラリは、アサートがトリガーされた場合に、コアダンプを介して機密情報をファイルシステムに出力する可能性があります。5.6.5で修正。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://eprint.iacr.org/2015/368
https://github.com/weidai11/cryptopp/issues/146
プラグインの詳細
深刻度: High
ID: 95589
ファイル名: freebsd_pkg_eab68cffbc0c11e6b2ca001b3856973b.nasl
バージョン: 3.4
タイプ: local
公開日: 2016/12/7
更新日: 2021/1/4
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS v3
リスクファクター: High
基本値: 7.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:cryptopp, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2016/12/6
脆弱性公開日: 2015/2/27