OpenSSL sérülékenység
Angol cím: 
OpenSSL RSA Key Generation BN_mod_inverse() and BN_mod_exp_mont() Cache Timing Attack Lets Local Users Recover the Private Key
CERT-Hungary ID: 
CH-14404
Felfedezés dátuma: 
2018-04-16
Összefoglaló: 

Az OpenSSL olyan alacsony besorolású sérülékenységét jelentették, amelyet kihasználva egy helyi felhasználó privát kulcsokat állíthat vissza.

Leírás: 

A sérülékenységet az RSA kulcsgeneráló algoritmusok (BN_mod_inverse() és BN_mod_exp_mont()) hibája okozza, amelyet kihasználva ún. "cache timing side channel" támadást lehet végrehajtani, melynek következtében meg lehet szerezni a privát kulcsokat.

Megoldás: 
A gyártó az alacsony kockázati szint miatt nem ad ki újabb verziót, hanem majd a következő kiadásban javítja a sérülékenységet (OpenSSL 1.1.0i ÉS OpenSSL 1.0.2p), illetve már elérhető a forráskód szintű javítás.
Érintett verziók: 
OpenSSL 1.x