Версии пакета jsrsasign до 11.0.0 уязвимы для Observable Discrepancy через процесс дешифрования RSA PKCS1.5 или RSAOAEP. Злоумышленник може…
Версии пакета jsrsasign до 11.0.0 уязвимы для Observable Discrepancy через процесс дешифрования RSA PKCS1.5 или RSAOAEP. Злоумышленник может дешифровать зашифрованные тексты, используя недостаток безопасности Marvin. Эксплуатация этой уязвимости требует от злоумышленника доступа к большому количеству зашифрованных текстов, зашифрованных с одним и тем же ключом. Workaround Уязвимость можно смягчить, найдя и заменив дешифрование RSA и RSAOAEP другой криптографической библиотекой.
Продукт ведёт себя по-разному или возвращает различные ответы в разных обстоятельствах таким образом, что это наблюдаемо неавторизованным субъектом и раскрывает информацию о состоянии продукта, имеющую значение для безопасности, например о том, была ли выполнена та или иная операция успешно.
https://cwe.mitre.org/data/definitions/203.html →Открыть в коллекции CWE →Злоумышленник обнаруживает структуру, функции и состав программного обеспечения с использованием методов анализа по принципу «чёрного ящика». Методы «чёрного ящика» предполагают взаимодействие с программным обеспечением косвенно, без прямого доступа к исполняемому объекту. Такой анализ обычно предполагает взаимодействие с программным обеспечением на границах его взаимодействия с более широкой средой выполнения, например через входно-выходные векторы, библиотеки или API. Обратная разработка по принципу «чёрного ящика» также включает сбор физических побочных эффектов аппаратного устройства, таких как электромагнитное излучение или звук.
https://capec.mitre.org/data/definitions/189.html →Открыть в коллекции CAPEC →