CWE-385БазаНеполный
Скрытый временной канал
Скрытые временные каналы передают информацию, модифицируя некоторый аспект поведения системы во времени, чтобы программа-получатель могла наблюдать поведение системы и извлекать защищённую информацию.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2020-35166Dell BSAFE Crypto-C Micro Edition, версии до 4.1.5, и Dell BSAFE Micro Edition Suite, версии до 4.6, содержат уязвимость Observable Timing Discrepancy.
CVE-2020-29506Dell BSAFE Crypto-C Micro Edition, версии до 4.1.5, и Dell BSAFE Micro Edition Suite, версии до 4.5.2, содержат уязвимость наблюдаемого временного расхождения.
CVE-2026-5598Скрытая уязвимость канала времени в Legion of the Bouncy Castle Inc. Ядро BC-JAVA на всех (основные модули).
Эта уязвимость связана с программными файлами FrodoEngine.Java.
Эта проблема затрагивает BC-JAVA: от 1.71 до 1.80.2, от 1,81 до 1.81, с 1,82 до 1.84.
CVE-2020-35164Dell BSAFE Crypto-C Micro Edition, версии до 4.1.5, и Dell BSAFE Micro Edition Suite, версии до 4.6, содержат уязвимость Observable Timing Discrepancy.
CVE-2025-59425vLLM - это вывод и движок для больших языковых моделей (LLM). Перед версией 0.11.0rc2 поддержка ключа API в vLLM выполняет проверку с использованием метода, который был уязвим для атаки синхронизации. Валида ключа API использует сравнение строк, которое занимает больше времени, чем больше символов обеспечивается ключ API. Анализ данных во многих попытках может позволить злоумышленнику определить, когда он находит следующий правильный символ в последовательности ключей. РАЗверты, основанные на встроенной валидации ключа API vLLM, уязвимы для обхода аутентификации с использованием этой техники. Версия 0.11.0rc2 исправляет проблему.
CVE-2024-25964Dell PowerScale OneFS 9.5.0.x — 9.7.0.x содержит уязвимость скрытого канала синхронизации. Удаленный не прошедший проверку подлинности злоумышленник может потенциально использовать эту уязвимость, что приведет к отказу в обслуживании.
CVE-2022-24409BSAFE SSL-J от Dell содержит исправление для уязвимости скрытого канала времени, которая может быть использована злоумышленниками для компрометации уязвимой системы. Только клиенты с действующими контрактами на обслуживание BSAFE могут получить подробную информацию об этой уязвимости. Публичное раскрытие подробностей уязвимости будет предоставлено позднее.
CVE-2020-25657Обнаружена уязвимость во всех выпущенных версиях m2crypto, где они уязвимы для атак по времени Блейхенбахера в API расшифровки RSA посредством обработки по времени допустимого шифротекста PKCS#1 v1.5. Наибольшая угроза от этой уязвимости заключается в конфиденциальности.
CVE-2019-9494Реализации SAE в hostapd и wpa_supplicant уязвимы для атак по сторонним каналам в результате наблюдаемых различий во времени и шаблонах доступа к кэшу. Злоумышленник может получить утечку информации из атаки по сторонним каналам, которая может быть использована для полного восстановления пароля. Уязвимы как hostapd с поддержкой SAE, так и wpa_supplicant с поддержкой SAE до версии 2.7 включительно.
CVE-2019-3732RSA BSAFE Crypto-C Micro Edition версий до 4.0.5.3 (в 4.0.x) и версий до 4.1.3.3 (в 4.1.x) и RSA Micro Edition Suite версий до 4.0.11 (в 4.0.x) версий до 4.1.6.1 (в 4.1.x) и версий до 4.3.3 (4.2.x и 4.3.x) уязвимы для раскрытия информации через временное несоответствие. Злонамеренный удаленный пользователь может потенциально использовать эту уязвимость для извлечения информации, оставляя данные под угрозой раскрытия.
CVE-2017-10118Уязвимость в компоненте Java SE, Java SE Embedded, JRockit Oracle Java SE (подкомпонент: JCE). Поддерживаемые версии, подверженные уязвимости: Java SE: 7u141 и 8u131; Java SE Embedded: 8u131; JRockit: R28.3.14. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE, Java SE Embedded, JRockit. Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Java SE, Java SE Embedded, JRockit. Примечание: эта уязвимость может быть использована через изолированные приложения Java Web Start и изолированные апплеты Java. Она также может быть использована путем предоставления данных API в указанном компоненте без использования изолированных приложений Java Web Start или изолированных апплетов Java, например, через веб-сервис. Базовая оценка CVSS 3.0 7.5 (воздействие на конфиденциальность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
CVE-2017-10115Уязвимость в компоненте Java SE, Java SE Embedded, JRockit Oracle Java SE (подкомпонент: JCE). Поддерживаемые версии, подверженные уязвимости: Java SE: 6u151, 7u141 и 8u131; Java SE Embedded: 8u131; JRockit: R28.3.14. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE, Java SE Embedded, JRockit. Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным Java SE, Java SE Embedded, JRockit. Примечание: эта уязвимость может быть использована через изолированные приложения Java Web Start и изолированные апплеты Java. Она также может быть использована путем предоставления данных API в указанном компоненте без использования изолированных приложений Java Web Start или изолированных апплетов Java, например, через веб-сервис. Базовая оценка CVSS 3.0 7.5 (воздействие на конфиденциальность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
CVE-2025-0306В Ruby обнаружена уязвимость. Интерпретатор Ruby уязвим для атаки Марвина. Эта атака позволяет злоумышленнику расшифровывать ранее зашифрованные сообщения или подделывать подписи, обмениваясь большим количеством сообщений с уязвимой службой.
CVE-2024-20952Уязвимость в Oracle Java SE, Oracle GraalVM для JDK, Oracle GraalVM Enterprise Edition продукте Oracle Java SE (компонент: Security). Поддерживаемые версии, которые подвержены, это Oracle Java SE: 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1; Oracle GraalVM для JDK: 17.0.9, 21.0.1; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8 и 22.3.4. Уязвимость, которую сложно эксплуатировать, позволяет неаутентифицированному злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Oracle Java SE, Oracle GraalVM для JDK, Oracle GraalVM Enterprise Edition. Успешные атаки на эту уязвимость могут привести к несанкционированному созданию, удалению или изменению доступа к критическим данным или всем данным, доступным для Oracle Java SE, Oracle GraalVM для JDK, Oracle GraalVM Enterprise Edition, а также к несанкционированному доступу к критическим данным или полному доступу ко всем данным, доступным для Oracle Java SE, Oracle GraalVM для JDK, Oracle GraalVM Enterprise Edition. Примечание: Эта уязвимость относится к развертываниям Java, обычно на клиентах, использующим безопасные Java Web Start приложения или безопасные Java апплеты, которые загружают и выполняют неподписанный код (например, код, приходящий из Интернета) и полагаются на Java sandbox для безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и выполняют только доверенный код (например, код, установленный администратором). CVSS 3.1 Базовый балл 7.4 (Влияния на конфиденциальность и целостность). CVSS вектор: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N).
CVE-2019-16863Устройства STMicroelectronics ST33TPHF2ESPI TPM версий до 2019-09-12 позволяют злоумышленникам извлекать закрытый ключ ECDSA посредством атаки по времени через побочный канал, поскольку скалярное умножение ECDSA обрабатывается неправильно, также известное как TPM-FAIL.