Cómo verificar si mi versión de OpenSSL es vulnerable a CVE-2016-7056 (ECDSA P-256 Key Recovery Timing Attack)

Navega tus respuestas
1

La aplicación que estoy probando tiene la versión OpenSSL "1.0.1e-fips".

Me encontré con esta vulnerabilidad CVE-2016-7056 (ECDSA P-256 Key Recovery Timing Attack) y no pude encontrar una manera de verificar si nuestro OpenSSL es vulnerable a este ataque. Tengo curiosidad por conocer la forma y los pasos para verificar esta vulnerabilidad para nuestra aplicación.

    
pregunta Sai Dutt Mekala 04.04.2017 - 11:14
fuente

2 respuestas

1

Comprueba tu versión ssl abierta openssl --versión

A continuación se muestra la lista de las versiones afectadas.

Versiones afectadas: OpenSSL 1.0.1u y versiones anteriores LibreSSL (pre 6.0 errata 16, pre 5.9 errata 33) BoringSSL pre noviembre 2015

Mitigación: Los usuarios de OpenSSL con las versiones afectadas deben aplicar el parche disponible en el manuscrito en [1].

Los usuarios de LibreSSL deben aplicar el parche oficial de OpenBSD [2,3].

Los usuarios de BoringSSL deben actualizar a una versión más reciente.

    
respondido por el Kemia rabada 02.08.2017 - 16:31
fuente
0

Si realmente estás dispuesto a romperte el cuello leyendo muchas cosas, puedes encontrar una manera de controlar el CVE basándose en lo que está escrito en este documento:

y esta discusión sobre Seclists:

Buena suerte

    
respondido por el Soufiane Tahiri 04.04.2017 - 14:26
fuente

Lea otras preguntas en las etiquetas

Aplicación utilizada en la industria de la salud: HIPAA HITECH "requisitos" de alojamiento ¿No es RBAC solo una implementación de MAC?