CVE-2023-5981 Debian — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	5,9 (MEDIUM)
Уязвимые версии	до 3.8.2
Устранено в версии	3.8.2
Тип уязвимости	CWE-203, CWE-208
Поставщик	Debian
Публичный эксплойт	Нет

Была обнаружена уязвимость, заключающаяся в том, что время ответа на неверные зашифрованные тексты в RSA-PSK ClientKeyExchange отличается от времени ответа для зашифрованных текстов с правильным дополнением PKCS#1 v1.5.

Показать оригинальное описание (EN)

A vulnerability was found that the response times to malformed ciphertexts in RSA-PSK ClientKeyExchange differ from response times of ciphertexts with correct PKCS#1 v1.5 padding.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Высокая

Сложно эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Нет

Нет модификации данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-203

CWE-208

Уязвимые продукты 6

Конфигурация	От (включительно)	До (исключительно)
Debian Debian_Linux cpe:2.3:o:debian:debian_linux:10.0:::::::*	—	—
Gnu Gnutls cpe:2.3:a:gnu:gnutls::::::::	—	`3.8.2`
Redhat Linux cpe:2.3:o:redhat:linux:8.0:::::::*	—	—
Redhat Linux cpe:2.3:o:redhat:linux:9.0:::::::*	—	—
Fedoraproject Fedora cpe:2.3:o:fedoraproject:fedora:37:::::::*	—	—
Fedoraproject Fedora cpe:2.3:o:fedoraproject:fedora:38:::::::*	—	—