Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01340

Опубликовано: 10 янв. 2024
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость программного обеспечения Mbed TLS существует из-за временного бокового канала в частных операциях RSA. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, реализовать атаку Марвина (Marvin) и получить доступ к конфиденциальной информации

Вендор

ARM Limited
ООО «РусБИТех-Астра»

Наименование ПО

Mbed TLS
Astra Linux Special Edition

Версия ПО

от 2.0.0 до 2.28.7 (Mbed TLS)
от 3.0.0 до 3.5.2 (Mbed TLS)
1.8 (Astra Linux Special Edition)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://mbed-tls.readthedocs.io/en/latest/security-advisories/mbedtls-security-advisory-2024-01-1/
Для ОС Astra Linux Special Edition 1.8:
обновить пакет mbedtls до 2.28.8-1+ci202407181701+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 39%
0.00175
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-23170

CVSS3: 5.5
ubuntu
около 2 лет назад

An issue was discovered in Mbed TLS 2.x before 2.28.7 and 3.x before 3.5.2. There was a timing side channel in RSA private operations. This side channel could be sufficient for a local attacker to recover the plaintext. It requires the attacker to send a large number of messages for decryption, as described in "Everlasting ROBOT: the Marvin Attack" by Hubert Kario.

nvd логотип

CVE-2024-23170

CVSS3: 5.5
nvd
около 2 лет назад

An issue was discovered in Mbed TLS 2.x before 2.28.7 and 3.x before 3.5.2. There was a timing side channel in RSA private operations. This side channel could be sufficient for a local attacker to recover the plaintext. It requires the attacker to send a large number of messages for decryption, as described in "Everlasting ROBOT: the Marvin Attack" by Hubert Kario.

msrc логотип

CVE-2024-23170

CVSS3: 5.5
msrc
около 1 года назад

Описание отсутствует

debian логотип

CVE-2024-23170

CVSS3: 5.5
debian
около 2 лет назад

An issue was discovered in Mbed TLS 2.x before 2.28.7 and 3.x before 3 ...

suse-cvrf логотип

openSUSE-SU-2024:0037-1

suse-cvrf
около 2 лет назад

Security update for mbedtls

EPSS

Процентиль: 39%
0.00175
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2