检测

FreeBSD:gnupg -- 通过低带宽声学密码分析攻击提取 RSA 密钥 (2e5715f8-67f7-11e3-9811-b499baab0cbe)

low Nessus 插件 ID 71529

语言:

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Werner Koch 报告:

已为此安全缺陷分配了 CVE-2013-4576。

该报告描述两种攻击。第一种攻击允许区分密钥:攻击者能注意到目前用于解密的密钥。这在一般情况下不是问题,但可能会泄漏信息,即目标计算机已接收到的用不常用的密钥加密的消息。我们没有用于缓解此攻击的软件解决方案。

第二种攻击更加严重。这是可泄漏私钥的适应性选择密文攻击。可能发生的情况是攻击者在目标设备附近放置传感器(例如标准智能手机)。该计算机被假设对收到的邮件进行无人值守的 RSA 解密,例如通过使用可加快浏览的邮件客户端,加速方法为根据机会对预期很快要阅读的邮件进行解密。监听目标计算机的声发射时,智能手机将向该计算机发送新的经加密的消息并逐位重建私钥。一小时内便可揭示笔记本电脑上使用的 4096 位 RSA 密钥。

解决方案

更新受影响的数据包。

另见

https://lists.gnupg.org/pipermail/gnupg-announce/2013q4/000337.html

http://www.nessus.org/u?5fda1442

插件详情

严重性: Low

ID: 71529

文件名: freebsd_pkg_2e5715f867f711e39811b499baab0cbe.nasl

版本: 1.8

类型: local

发布时间: 2013/12/19

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

CVSS v2

风险因素: Low

基本分数: 2.1

矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:gnupg, p-cpe:/a:freebsd:freebsd:gnupg1, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2013/12/18

漏洞发布日期: 2013/12/18

参考资料信息

CVE: CVE-2013-4576