Обнаружена уязвимость в GnuTLS. Время отклика на неправильно сформированные шифротексты в RSA-PSK ClientKeyExchange отличается от времени о…
Обнаружена уязвимость в GnuTLS. Время отклика на неправильно сформированные шифротексты в RSA-PSK ClientKeyExchange отличается от времени отклика шифротекстов с правильным заполнением PKCS#1 v1.5. Эта проблема может позволить удаленному злоумышленнику выполнить атаку по сторонним каналам времени в обмене ключами RSA-PSK, что потенциально может привести к утечке конфиденциальных данных. CVE-2024-0553 обозначен как неполное решение для CVE-2023-5981.
Устройство не содержит достаточных механизмов защиты, предотвращающих утечку чувствительной информации через физические боковые каналы вследствие закономерностей в физически наблюдаемых явлениях — таких как вариации потребления мощности, электромагнитного излучения (ЭМИ) или акустического излучения.
https://cwe.mitre.org/data/definitions/1300.html →Открыть в коллекции CWE →Продукт ведёт себя по-разному или возвращает различные ответы в разных обстоятельствах таким образом, что это наблюдаемо неавторизованным субъектом и раскрывает информацию о состоянии продукта, имеющую значение для безопасности, например о том, была ли выполнена та или иная операция успешно.
https://cwe.mitre.org/data/definitions/203.html →Открыть в коллекции CWE →Две отдельные операции в продукте требуют различного времени для выполнения таким образом, что это наблюдаемо субъектом и раскрывает информацию о состоянии продукта, имеющую значение для безопасности, например о том, была ли выполнена та или иная операция успешно.
https://cwe.mitre.org/data/definitions/208.html →Открыть в коллекции CWE →Злоумышленник обнаруживает структуру, функции и состав программного обеспечения с использованием методов анализа по принципу «чёрного ящика». Методы «чёрного ящика» предполагают взаимодействие с программным обеспечением косвенно, без прямого доступа к исполняемому объекту. Такой анализ обычно предполагает взаимодействие с программным обеспечением на границах его взаимодействия с более широкой средой выполнения, например через входно-выходные векторы, библиотеки или API. Обратная разработка по принципу «чёрного ящика» также включает сбор физических побочных эффектов аппаратного устройства, таких как электромагнитное излучение или звук.
https://capec.mitre.org/data/definitions/189.html →Открыть в коллекции CAPEC →Злоумышленник инициирует межсайтовые HTTP / GET-запросы и измеряет время отклика сервера. Данные о времени отклика могут раскрывать важную информацию о происходящем на сервере. Политика единого источника браузера не позволяет злоумышленнику напрямую читать ответы сервера (при отсутствии других уязвимостей), однако не препятствует измерению времени отклика на запросы, инициированные злоумышленником из другого домена.
https://capec.mitre.org/data/definitions/462.html →Открыть в коллекции CAPEC →Злоумышленник выполняет действия по снятию отпечатка с целью определения типа или версии приложения, установленного на удалённой цели.
https://capec.mitre.org/data/definitions/541.html →Открыть в коллекции CAPEC →Злоумышленник проводит активное зондирование и разведку для получения сведений безопасности об удалённой целевой системе. Нередко злоумышленники опираются на удалённые приложения, допускающие зондирование конфигураций системы.
https://capec.mitre.org/data/definitions/580.html →Открыть в коллекции CAPEC →Злоумышленник может прослушивать содержимое внешнего монитора через эфир без модификации кабелей или установки программного обеспечения, лишь захватывая сигнал, излучаемый кабелем или видеопортом. Это позволяет злоумышленнику нарушить конфиденциальность данных, оставаясь незамеченным традиционными средствами защиты.
https://capec.mitre.org/data/definitions/699.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| gnutls | Отслеживается | |
| gnutls | Отслеживается | |
| gnutls | Отслеживается | |
| gnutls | Отслеживается | |
| gnutls | Отслеживается | |
| gnutls | Отслеживается | |
| gnutls | Отслеживается | |
| gnutls-utils | Отслеживается | |
| gnutls28 | Отслеживается | |
| gnutls28 | Отслеживается | |
| gnutls28 | Отслеживается | |
| gnutls28 | Отслеживается | |
| gnutls28 | Отслеживается | |
| gnutls28 | Отслеживается | |
| gnutls28 | Отслеживается | |
| gnutls28 | Отслеживается | |
| gnutls28 | Отслеживается | |
| gnutls28 | Отслеживается | |
| gnutls28 | Отслеживается | |
| gnutls28 | Отслеживается |