Bezpečnostné varovanie V20171018-01K
Dôležitosť | Kritická |
Klasifikácia | TLP WHITE |
CVSS Skóre |
9.0 |
Identifikátor |
Zraniteľnosť v RSA knižnici spoločnosti Infineon |
Popis |
RSA knižnica spoločnosti Infineon verzie 1.02.013 vo firmvéri softvéru Infineon Trusted Platform Module (TPM) – verzie pred 0000000000000422 – 4.34, pred 000000000000062b – 6.43 a pred 0000000000008521 – 133.33, nesprávne generuje RSA kľúče, čo môže spôsobiť, že útočník dokáže zistiť privátny RSA kľúč, ktorý korešponduje s verejným RSA kľúčom konkrétneho klienta. RSA knižnica spoločnosti Infineon vo verzii 1.02.013 nesprávne generuje párové RSA kľúče. Výsledkom je, že množina kľúčov, ktoré je potrebné vyskúšať pri útoku hrubou silou (brute force) je zúžená natoľko, že je prakticky možné faktorizovať kľúče s dĺžkou 2048 bitov a menej a získať súkromný RSA kľúč. Útočník potrebuje iba prístup k verejnému RSA kľúču obete, ktorý generuje zraniteľná knižnica, aby získal privátny kľúč. V súvislosti s touto zraniteľnosťou spoločnosti Microsoft, Google, Lenovo, HP a Fujitsu taktiež upozorňujú svojich zákazníkov na túto zraniteľnosť, ktorá sa môže nachádzať v produktoch na ich zariadeniach. Táto zraniteľnosť takisto zasahuje aj BitLocker s TPM 1.2, YubiKey 4 PGP key generation, a taktiež Cached User Data encryption v Chrome OS. Zraniteľnosť sa takisto týka aj eID kariet v občianskych preukazoch so kvalifikovaným elektronickým podpisom. |
Dátum prvého zverejnenia varovania |
16. 10. 2017 |
CVE |
CVE-2017-15361 |
Zasiahnuté systémy |
Systémy a produkty, využívajúce knižnicu od spoločnosti Infineon verzie 1.02.013 a softvér Trusted Platform Module |
Následky |
Neoprávnený prístup k privátnemu RSA kľúču |
Odporúčania |
Ak vlastníte zariadenie so zraniteľným modulom, odporúčame inštalovať výrobcom |
« Späť na zoznam