iPerf3 до версии 3.17, при использовании с OpenSSL до версии 3.2.0 в качестве сервера с RSA-аутентификацией, позволяет атакующему использов…
iPerf3 до версии 3.17, при использовании с OpenSSL до версии 3.2.0 в качестве сервера с RSA-аутентификацией, позволяет атакующему использовать временной побочный канал при операциях расшифровки RSA. Этот побочный канал может быть достаточен для того, чтобы злоумышленник восстановил открытый текст учетных данных. Для этого атакующий должен отправить большое количество сообщений на расшифровку, как описано в "Everlasting ROBOT: the Marvin Attack" Хуберта Карьо.
Продукт ведёт себя по-разному или возвращает различные ответы в разных обстоятельствах таким образом, что это наблюдаемо неавторизованным субъектом и раскрывает информацию о состоянии продукта, имеющую значение для безопасности, например о том, была ли выполнена та или иная операция успешно.
https://cwe.mitre.org/data/definitions/203.html →Открыть в коллекции CWE →Скрытые временные каналы передают информацию, модифицируя некоторый аспект поведения системы во времени, чтобы программа-получатель могла наблюдать поведение системы и извлекать защищённую информацию.
https://cwe.mitre.org/data/definitions/385.html →Открыть в коллекции CWE →Злоумышленник обнаруживает структуру, функции и состав программного обеспечения с использованием методов анализа по принципу «чёрного ящика». Методы «чёрного ящика» предполагают взаимодействие с программным обеспечением косвенно, без прямого доступа к исполняемому объекту. Такой анализ обычно предполагает взаимодействие с программным обеспечением на границах его взаимодействия с более широкой средой выполнения, например через входно-выходные векторы, библиотеки или API. Обратная разработка по принципу «чёрного ящика» также включает сбор физических побочных эффектов аппаратного устройства, таких как электромагнитное излучение или звук.
https://capec.mitre.org/data/definitions/189.html →Открыть в коллекции CAPEC →Злоумышленник инициирует межсайтовые HTTP / GET-запросы и измеряет время отклика сервера. Данные о времени отклика могут раскрывать важную информацию о происходящем на сервере. Политика единого источника браузера не позволяет злоумышленнику напрямую читать ответы сервера (при отсутствии других уязвимостей), однако не препятствует измерению времени отклика на запросы, инициированные злоумышленником из другого домена.
https://capec.mitre.org/data/definitions/462.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| iperf3 | Отслеживается | |
| iperf3 | Отслеживается | |
| iperf3 | Отслеживается | |
| iperf3 | Отслеживается | |
| iperf3 | Отслеживается | |
| iperf3 | Отслеживается | |
| iperf3 | Отслеживается | |
| iperf3 | Отслеживается | |
| iperf3 | Отслеживается | |
| iperf3 | Отслеживается | |
| libiperf3-0 | Отслеживается | |
| libiperf3-devel | Отслеживается | |
| bootstrap_os | * | Отслеживается |
| iperf3 | * | Отслеживается |