Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07919

Опубликовано: 10 мая 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 4.7
EPSS Низкий

Описание

Уязвимость функции Read() библиотеки криптографических алгоритмов с открытым исходным кодом Circl связана с недостаточной проверкой входных данных и непринятием мер по нейтрализации инструкций в динамически исполняемом код. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

Вендор

Cloudflare, Inc
Grafana Labs

Наименование ПО

Circl
Grafana

Версия ПО

до 1.3.3 (Circl)
10.1.4 (Grafana)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://github.com/cloudflare/circl/security/advisories/GHSA-2q89-485c-9j2x

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 42%
0.00192
Низкий

5.3 Medium

CVSS3

4.7 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-1732

CVSS3: 5.3
nvd
около 2 лет назад

When sampling randomness for a shared secret, the implementation of Kyber and FrodoKEM, did not check whether crypto/rand.Read() returns an error. In rare deployment cases (error thrown by the Read() function), this could lead to a predictable shared secret. The tkn20 and blindrsa components did not check whether enough randomness was returned from the user provided randomness source. Typically the user provides crypto/rand.Reader, which in the vast majority of cases will always return the right number random bytes. In the cases where it does not, or the user provides a source that does not, the blinding for blindrsa is weak and integrity of the plaintext is not ensured in tkn20.

github логотип

GHSA-2q89-485c-9j2x

CVSS3: 5.3
github
около 2 лет назад

Improper random reading in CIRCL

EPSS

Процентиль: 42%
0.00192
Низкий

5.3 Medium

CVSS3

4.7 Medium

CVSS2