CVE-2020-12402

Опубликовано: 09 июл. 2020

Источник: nvd

CVSS3: 4.4

CVSS2: 1.2

EPSS Низкий

Уязвимость утечки данных при генерации RSA-ключей через атаку побочного канала на основе электромагнитных измерений

Описание

При генерации RSA-ключей реализации больших чисел (bignum) используется вариация расширенного двоичного алгоритма Евклида, который предполагает значительно зависящий от входных данных поток выполнения. Это позволяет злоумышленнику, выполняющему атаку побочного канала на основе электромагнитных излучений, записывать следы, ведущие к восстановлению секретных простых чисел.

Примечание: Немодифицированный браузер Firefox не генерирует RSA-ключи в процессе обычной работы и не подвержен этой уязвимости, однако продукты, построенные на его основе, могут быть уязвимы.

Затронутые версии ПО

Firefox < 78

Тип уязвимости

Утечка информации

Ссылки

http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00016.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00018.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00027.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00049.html
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=1631597
Issue Tracking
Permissions Required
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2020/09/msg00029.html
Mailing List
Third Party Advisory
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/RFL6UNFK4MG2WDXLMLFAEIUSM5EUK7CG/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/UWVDJRARXNWWWTCGMM63EXLQHH2LNOXO/
https://security.gentoo.org/glsa/202007-10
Third Party Advisory
https://usn.ubuntu.com/4417-1/
Third Party Advisory
https://usn.ubuntu.com/4417-2/
Third Party Advisory
https://www.debian.org/security/2020/dsa-4726
Third Party Advisory
https://www.mozilla.org/security/advisories/mfsa2020-24/
Vendor Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00016.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00018.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00027.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00049.html
Third Party Advisory
https://bugzilla.mozilla.org/show_bug.cgi?id=1631597
Issue Tracking
Permissions Required
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2020/09/msg00029.html
Mailing List
Third Party Advisory
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/RFL6UNFK4MG2WDXLMLFAEIUSM5EUK7CG/

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 78.0 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:leap:15.2:*:*:*:*:*:*:*

Конфигурация 3

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*

EPSS

Процентиль: 29%

0.00102

Низкий

4.4 Medium

CVSS3

1.2 Low

CVSS2

Дефекты

CWE-203

Связанные уязвимости

CVE-2020-12402

CVSS3: 4.4

ubuntu

больше 5 лет назад

During RSA key generation, bignum implementations used a variation of the Binary Extended Euclidean Algorithm which entailed significantly input-dependent flow. This allowed an attacker able to perform electromagnetic-based side channel attacks to record traces leading to the recovery of the secret primes. *Note:* An unmodified Firefox browser does not generate RSA keys in normal operation and is not affected, but products built on top of it might. This vulnerability affects Firefox < 78.

CVE-2020-12402

CVSS3: 4.4

redhat

больше 5 лет назад

CVE-2020-12402

CVSS3: 4.4

debian

больше 5 лет назад

During RSA key generation, bignum implementations used a variation of ...

openSUSE-SU-2020:0955-1

suse-cvrf

больше 5 лет назад

Security update for mozilla-nss

openSUSE-SU-2020:0953-1

suse-cvrf

больше 5 лет назад

Security update for mozilla-nss

EPSS

Процентиль: 29%

0.00102

Низкий

4.4 Medium

CVSS3

1.2 Low

CVSS2

Дефекты

CWE-203