Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05561

Опубликовано: 22 апр. 2024
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость файлов ECCurve.java и ECCurve.cs библиотеки проверки ключа EC модуля Math средств криптографической защиты Bouncy Castle Crypto Package For Java (BC Java), Bouncy Castle Java Long Term Stable (LTS) (BC-LJA), Bouncy Castle FIPS Java API (BC-FJA) и Bouncy Castle Cryptography Library For .NET связана с неконтролируемым расходом ресурсов при обработке типа эллипти́ческой кривой F2m. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Legion of the Bouncy Castle Inc.

Наименование ПО

Bouncy Castle Crypto Package For Java
Bouncy Castle FIPS Java API (BC-FJA)
Bouncy Castle Cryptography Library For .NET
Bouncy Castle Java Long Term Stable (LTS) (BC-LJA)

Версия ПО

до 1.78 (Bouncy Castle Crypto Package For Java)
до 1.0.2.5 (Bouncy Castle FIPS Java API (BC-FJA))
до 2.3.1 (Bouncy Castle Cryptography Library For .NET)
до 2.73.6 (Bouncy Castle Java Long Term Stable (LTS) (BC-LJA))

Тип ПО

Средство защиты
Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Bouncy Castle Crypto Package For Java (BC Java):
https://github.com/bcgit/bc-java/commit/fee80dd230e7fba132d03a34f1dd1d6aae0d0281
https://www.bouncycastle.org/download/bouncy-castle-java/
Для Bouncy Castle Cryptography Library For .NET:
https://github.com/bcgit/bc-csharp/commit/56daa6eac526f165416d17f661422d60de0dfd63
https://www.bouncycastle.org/download/bouncy-castle-c/
Для Bouncy Castle Java Long Term Stable (LTS) (BC-LJA):
https://www.bouncycastle.org/download/bouncy-castle-java-lts/
Для Bouncy Castle FIPS Java API (BC-FJA):
https://www.bouncycastle.org/download/bouncy-castle-java-fips/
https://downloads.bouncycastle.org/fips-java/bc-fips-1.0.2.5-sources.jar
https://repo1.maven.org/maven2/org/bouncycastle/bc-fips/1.0.2.5/bc -fips-1.0.2.5-sources.jar

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 56%
0.00337
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-29857

CVSS3: 7.5
ubuntu
больше 1 года назад

An issue was discovered in ECCurve.java and ECCurve.cs in Bouncy Castle Java (BC Java) before 1.78, BC Java LTS before 2.73.6, BC-FJA before 1.0.2.5, and BC C# .Net before 2.3.1. Importing an EC certificate with crafted F2m parameters can lead to excessive CPU consumption during the evaluation of the curve parameters.

redhat логотип

CVE-2024-29857

CVSS3: 6.5
redhat
больше 1 года назад

An issue was discovered in ECCurve.java and ECCurve.cs in Bouncy Castle Java (BC Java) before 1.78, BC Java LTS before 2.73.6, BC-FJA before 1.0.2.5, and BC C# .Net before 2.3.1. Importing an EC certificate with crafted F2m parameters can lead to excessive CPU consumption during the evaluation of the curve parameters.

nvd логотип

CVE-2024-29857

CVSS3: 7.5
nvd
больше 1 года назад

An issue was discovered in ECCurve.java and ECCurve.cs in Bouncy Castle Java (BC Java) before 1.78, BC Java LTS before 2.73.6, BC-FJA before 1.0.2.5, and BC C# .Net before 2.3.1. Importing an EC certificate with crafted F2m parameters can lead to excessive CPU consumption during the evaluation of the curve parameters.

debian логотип

CVE-2024-29857

CVSS3: 7.5
debian
больше 1 года назад

An issue was discovered in ECCurve.java and ECCurve.cs in Bouncy Castl ...

github логотип

GHSA-8xfc-gm6g-vgpv

CVSS3: 5.3
github
больше 1 года назад

Bouncy Castle certificate parsing issues cause high CPU usage during parameter evaluation.

EPSS

Процентиль: 56%
0.00337
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2