В GnuTLS обнаружена уязвимость. Время ответа на неверные зашифрованные тексты в RSA-PSK ClientKeyExchange отличается от времени ответа на зашифрованные тексты с правильным дополнением PKCS#1 v1.5. Эта проблема может позволить удаленному злоумышленнику выполнить атаку по побочному каналу при обмене ключами RSA-PSK, что потенциально может привести к утечке конфиденциальных данных. CVE-2024-0553 обозначен как неполное разрешение CVE-2023-5981.
Показать оригинальное описание (EN)
A vulnerability was found in GnuTLS. The response times to malformed ciphertexts in RSA-PSK ClientKeyExchange differ from the response times of ciphertexts with correct PKCS#1 v1.5 padding. This issue may allow a remote attacker to perform a timing side-channel attack in the RSA-PSK key exchange, potentially leading to the leakage of sensitive data. CVE-2024-0553 is designated as an incomplete resolution for CVE-2023-5981.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 4
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gnu Gnutls
cpe:2.3:a:gnu:gnutls:*:*:*:*:*:*:*:*
|
— |
3.8.3
|
|
Fedoraproject Fedora
cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:*
|
— | — |
|
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
|
— | — |
|
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:*
|
— | — |