nettle-2.7.1-8.el7

エラータID: AXSA:2016-1108:01

リリース日: 
2016/11/29 Tuesday - 08:15
題名: 
nettle-2.7.1-8.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Nettle の ecc-256.c の ecc_256_modp 関数は 繰り上がりを正しく
取り扱っておらず、そして P-256 NIST 楕円曲線の実装において
不正な出力をしており、攻撃者が未知の要因により不定な影響
を与える脆弱性があります。
これは、CVE-2015-8805 とは異なる脆弱性です。(CVE-2015-8803)

- Nettle の x86_64/ecc-384-modp.asm は、 繰り上がりを正しく
取り扱っておらず、そして P-384 NIST 楕円曲線の実装において
不正な出力をしており、攻撃者が未知の要因により不定のインパクト
を与える脆弱性があります。(CVE-2015-8804)

- Nettle の ecc_256_modq 関数は、 繰り上がりを正しく取り扱ってお
らず、そして P-256 NIST 楕円曲線の実装において不正な出力をして
おり、攻撃者が未知の要因により不定のインパクトを与える脆弱性が
あります。
これは、CVE-2015-8803 とは異なる脆弱性です。(CVE-2015-8805)

現時点では CVE-2016-6489 の情報が公開され ておりません。
CVE の情報が公開され次第情報をアップデートいたします。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2015-8803
The ecc_256_modp function in ecc-256.c in Nettle before 3.2 does not properly handle carry propagation and produces incorrect output in its implementation of the P-256 NIST elliptic curve, which allows attackers to have unspecified impact via unknown vectors, a different vulnerability than CVE-2015-8805.
CVE-2015-8804
x86_64/ecc-384-modp.asm in Nettle before 3.2 does not properly handle carry propagation and produces incorrect output in its implementation of the P-384 NIST elliptic curve, which allows attackers to have unspecified impact via unknown vectors.
CVE-2015-8805
The ecc_256_modq function in ecc-256.c in Nettle before 3.2 does not properly handle carry propagation and produces incorrect output in its implementation of the P-256 NIST elliptic curve, which allows attackers to have unspecified impact via unknown vectors, a different vulnerability than CVE-2015-8803.
CVE-2016-6489
The RSA and DSA decryption code in Nettle makes it easier for attackers to discover private keys via a cache side channel attack.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nettle-2.7.1-8.el7.src.rpm
    MD5: 52f36d6ef7d94d00a2374792ad48cc4e
    SHA-256: 01b94a68db076bc8e73a1bff4e3b4c9ca18928d354f18fc4448de1c5701aaf24
    Size: 1.75 MB

Asianux Server 7 for x86_64
  1. nettle-2.7.1-8.el7.x86_64.rpm
    MD5: e23f700dd3682b3a915804c308598c1c
    SHA-256: 0a70f313085ee1a3550649bffaba48aa68d34bd0ee9ce70c1ab8ce3261534c4e
    Size: 326.45 kB
  2. nettle-devel-2.7.1-8.el7.x86_64.rpm
    MD5: ad93ebfbe9ee5ad799eef0b9cee2d912
    SHA-256: a88db01673620de5ecca861c6be22ab59d2db735bc2ee2d7985fccc616bb0639
    Size: 470.21 kB
  3. nettle-2.7.1-8.el7.i686.rpm
    MD5: a9c34ab6b1345980edc52322d36bc98c
    SHA-256: 502ca4f31859cbb0bd61fb27096f69b5a85c36961a0f51ffdcdb0e24c9090f09
    Size: 329.08 kB
  4. nettle-devel-2.7.1-8.el7.i686.rpm
    MD5: a935da9925e4a8059829bfcf8ddea08a
    SHA-256: 261079b3449914e24f4d491b71d06ce6e9eb7e04fbc330030e13634c5eae0285
    Size: 470.23 kB