Уязвимость в детерминированном генераторе случайных битов (DRBG), также известном как генератор псевдослучайных чисел (PRNG), используемом …
Уязвимость в детерминированном генераторе случайных битов (DRBG), также известном как генератор псевдослучайных чисел (PRNG), используемом в Cisco Adaptive Security Appliance (ASA) Software и Cisco Firepower Threat Defense (FTD) Software, может позволить не прошедшему проверку подлинности удаленному злоумышленнику вызвать криптографическое столкновение, позволяющее злоумышленнику обнаружить закрытый ключ уязвимого устройства. Уязвимость связана с недостаточной энтропией в DRBG при создании криптографических ключей. Злоумышленник может использовать эту уязвимость, сгенерировав большое количество криптографических ключей на уязвимом устройстве и поискав столкновения с целевыми устройствами. Успешная эксплуатация может позволить злоумышленнику выдать себя за уязвимое целевое устройство или расшифровать трафик, защищенный затронутым ключом, который отправляется на уязвимое целевое устройство или с него.
Нехватка энтропии, доступной для генератора псевдослучайных чисел (PRNG) или используемой им, может представлять угрозу стабильности и безопасности.
https://cwe.mitre.org/data/definitions/332.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| adaptive_security_appliance_device_manager | * | Отслеживается |
| firepower_threat_defense | * | Отслеживается |