lib/Crypto/PublicKey/ElGamal.py в PyCrypto до версии 2.6.1 генерирует слабые параметры ключа ElGamal, что позволяет злоумышленникам получат…
lib/Crypto/PublicKey/ElGamal.py в PyCrypto до версии 2.6.1 генерирует слабые параметры ключа ElGamal, что позволяет злоумышленникам получать конфиденциальную информацию путем чтения данных зашифрованного текста (то есть он не обладает семантической безопасностью перед атакой только с зашифрованным текстом). Предположение Decisional Diffie-Hellman (DDH) не выполняется для реализации ElGamal в PyCrypto.
Продукт не реализует обязательный шаг криптографического алгоритма, в результате чего шифрование оказывается слабее, чем заявлено алгоритмом.
https://cwe.mitre.org/data/definitions/325.html →Открыть в коллекции CWE →Продукт хранит или передаёт конфиденциальные данные с использованием схемы шифрования, которая теоретически корректна, однако недостаточно стойка для требуемого уровня защиты.
https://cwe.mitre.org/data/definitions/326.html →Открыть в коллекции CWE →Злоумышленник, располагая шифртекстом и используемым алгоритмом шифрования, выполняет исчерпывающий (методом грубой силы) поиск по пространству ключей для определения ключа, дешифрующего шифртекст в открытый текст.
https://capec.mitre.org/data/definitions/20.html →Открыть в коллекции CAPEC →Во многих языках программирования используются механизмы подписания кода для удостоверения идентичности кода и тем самым привязки кода к назначенным ему привилегиям в среде. Подрыв этого механизма может быть инструментом повышения привилегий злоумышленником. Любой способ обхода механизма контроля подписания кода виртуальной машиной квалифицируется как данный стиль атаки.
https://capec.mitre.org/data/definitions/68.html →Открыть в коллекции CAPEC →В данной атаке некий актив (информация, функциональность, удостоверение и т. д.) защищён конечным секретным значением. Злоумышленник пытается получить доступ к активу методом проб и ошибок, перебирая все возможные значения секрета в надежде найти то значение (или функционально эквивалентное ему), которое откроет доступ к активу.
https://capec.mitre.org/data/definitions/112.html →Открыть в коллекции CAPEC →Злоумышленник занимается деятельностью по расшифровке и/или декодированию информации протокола для сетевого протокола или протокола обмена данными приложения, используемого для передачи информации между взаимосвязанными узлами или системами в сети с пакетной коммутацией. Хотя данный тип анализа неизбежно включает анализ сетевого протокола, он не требует наличия реальной или физической сети.
https://capec.mitre.org/data/definitions/192.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| pycryptodome | Отслеживается | |
| pycryptodome | Отслеживается | |
| pycryptodome | Отслеживается | |
| python-crypto | Отслеживается | |
| python-crypto | Отслеживается | |
| python-crypto | Отслеживается | |
| python-crypto | Отслеживается | |
| python-crypto | Отслеживается | |
| python-crypto | Отслеживается | |
| python-crypto | Отслеживается | |
| python-crypto | Отслеживается | |
| debian_linux | * | Отслеживается |
| pycrypto | * | Отслеживается |
| ubuntu_linux | * | Отслеживается |