Описание
Уязвимость криптографической библиотеки Libgcrypt связана с недостаточной защитой служебных данных в результате расхождения во времени. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку Блейхенбахера (Bleichenbacher) или атаку Марвина (Marvin)
Вендор
Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
Fedora Project
Werner Koch
Наименование ПО
Red Hat Enterprise Linux
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Debian GNU/Linux
Fedora
Libgcrypt
Версия ПО
7 (Red Hat Enterprise Linux)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
11 SP4 (Suse Linux Enterprise Server)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
12 SP2-ESPOS (Suse Linux Enterprise Server)
12-LTSS (Suse Linux Enterprise Server)
11 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
11 SP4-LTSS (Suse Linux Enterprise Server)
12 SP1-LTSS (Suse Linux Enterprise Server)
12 SP2-LTSS (Suse Linux Enterprise Server)
12 SP3-LTSS (Suse Linux Enterprise Server)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
11 SP3-LTSS (Suse Linux Enterprise Server)
12 SP3-ESPOS (Suse Linux Enterprise Server)
12 SP2 (Suse Linux Enterprise Desktop)
12 SP2 (Suse Linux Enterprise Server)
15-LTSS (Suse Linux Enterprise Server)
12 SP1 (Suse Linux Enterprise Desktop)
12 SP1 (Suse Linux Enterprise Server)
12 (SUSE Linux Enterprise Server for SAP Applications)
11 SP4 (Suse Linux Enterprise Desktop)
11 SP3 (Suse Linux Enterprise Server)
12 (Suse Linux Enterprise Desktop)
12 SP4-ESPOS (Suse Linux Enterprise Server)
12 SP4-LTSS (Suse Linux Enterprise Server)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
15 SP1 (Suse Linux Enterprise Server)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
12 (Suse Linux Enterprise Server)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (Suse Linux Enterprise Server)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
15 SP4 (Suse Linux Enterprise Server)
15 SP2 (Suse Linux Enterprise Desktop)
15 SP4 (Suse Linux Enterprise Desktop)
15 (Suse Linux Enterprise Server)
15 SP2-BCL (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
9 (Red Hat Enterprise Linux)
15 SP2-LTSS (Suse Linux Enterprise Server)
15 SP1 (Suse Linux Enterprise Desktop)
15 (Suse Linux Enterprise Desktop)
15 SP3-LTSS (Suse Linux Enterprise Server)
15 SP3-BCL (Suse Linux Enterprise Server)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
15 SP4-LTSS (Suse Linux Enterprise Server)
41 (Fedora)
- (Libgcrypt)
Тип ПО
Операционная система
Программное средство защиты
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.
Использование рекомендаций производителей:
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-2236
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-2236
Для программных продуктов Novell Inc.:
https://www.suse.com/ko-kr/security/cve/CVE-2024-2236.html
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2024-9764fc1fc9
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 50%
0.00266
Низкий
5.9 Medium
CVSS3
5.4 Medium
CVSS2
Связанные уязвимости
CVSS3: 5.9
ubuntu
больше 1 года назад
A timing-based side-channel flaw was found in libgcrypt's RSA implementation. This issue may allow a remote attacker to initiate a Bleichenbacher-style attack, which can lead to the decryption of RSA ciphertexts.
CVSS3: 5.9
redhat
больше 1 года назад
A timing-based side-channel flaw was found in libgcrypt's RSA implementation. This issue may allow a remote attacker to initiate a Bleichenbacher-style attack, which can lead to the decryption of RSA ciphertexts.
CVSS3: 5.9
nvd
больше 1 года назад
A timing-based side-channel flaw was found in libgcrypt's RSA implementation. This issue may allow a remote attacker to initiate a Bleichenbacher-style attack, which can lead to the decryption of RSA ciphertexts.
CVSS3: 5.9
debian
больше 1 года назад
A timing-based side-channel flaw was found in libgcrypt's RSA implemen ...
EPSS
Процентиль: 50%
0.00266
Низкий
5.9 Medium
CVSS3
5.4 Medium
CVSS2