nettle-2.7.1-8.el7
エラータID: AXSA:2016-1108:01
リリース日:
2016/11/29 Tuesday - 08:15
題名:
nettle-2.7.1-8.el7
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- Nettle の ecc-256.c の ecc_256_modp 関数は 繰り上がりを正しく
取り扱っておらず、そして P-256 NIST 楕円曲線の実装において
不正な出力をしており、攻撃者が未知の要因により不定な影響
を与える脆弱性があります。
これは、CVE-2015-8805 とは異なる脆弱性です。(CVE-2015-8803)
- Nettle の x86_64/ecc-384-modp.asm は、 繰り上がりを正しく
取り扱っておらず、そして P-384 NIST 楕円曲線の実装において
不正な出力をしており、攻撃者が未知の要因により不定のインパクト
を与える脆弱性があります。(CVE-2015-8804)
- Nettle の ecc_256_modq 関数は、 繰り上がりを正しく取り扱ってお
らず、そして P-256 NIST 楕円曲線の実装において不正な出力をして
おり、攻撃者が未知の要因により不定のインパクトを与える脆弱性が
あります。
これは、CVE-2015-8803 とは異なる脆弱性です。(CVE-2015-8805)
現時点では CVE-2016-6489 の情報が公開され ておりません。
CVE の情報が公開され次第情報をアップデートいたします。
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2015-8803
The ecc_256_modp function in ecc-256.c in Nettle before 3.2 does not properly handle carry propagation and produces incorrect output in its implementation of the P-256 NIST elliptic curve, which allows attackers to have unspecified impact via unknown vectors, a different vulnerability than CVE-2015-8805.
The ecc_256_modp function in ecc-256.c in Nettle before 3.2 does not properly handle carry propagation and produces incorrect output in its implementation of the P-256 NIST elliptic curve, which allows attackers to have unspecified impact via unknown vectors, a different vulnerability than CVE-2015-8805.
CVE-2015-8804
x86_64/ecc-384-modp.asm in Nettle before 3.2 does not properly handle carry propagation and produces incorrect output in its implementation of the P-384 NIST elliptic curve, which allows attackers to have unspecified impact via unknown vectors.
x86_64/ecc-384-modp.asm in Nettle before 3.2 does not properly handle carry propagation and produces incorrect output in its implementation of the P-384 NIST elliptic curve, which allows attackers to have unspecified impact via unknown vectors.
CVE-2015-8805
The ecc_256_modq function in ecc-256.c in Nettle before 3.2 does not properly handle carry propagation and produces incorrect output in its implementation of the P-256 NIST elliptic curve, which allows attackers to have unspecified impact via unknown vectors, a different vulnerability than CVE-2015-8803.
The ecc_256_modq function in ecc-256.c in Nettle before 3.2 does not properly handle carry propagation and produces incorrect output in its implementation of the P-256 NIST elliptic curve, which allows attackers to have unspecified impact via unknown vectors, a different vulnerability than CVE-2015-8803.
CVE-2016-6489
The RSA and DSA decryption code in Nettle makes it easier for attackers to discover private keys via a cache side channel attack.
The RSA and DSA decryption code in Nettle makes it easier for attackers to discover private keys via a cache side channel attack.
追加情報:
N/A
ダウンロード:
SRPMS
- nettle-2.7.1-8.el7.src.rpm
MD5: 52f36d6ef7d94d00a2374792ad48cc4e
SHA-256: 01b94a68db076bc8e73a1bff4e3b4c9ca18928d354f18fc4448de1c5701aaf24
Size: 1.75 MB
Asianux Server 7 for x86_64
- nettle-2.7.1-8.el7.x86_64.rpm
MD5: e23f700dd3682b3a915804c308598c1c
SHA-256: 0a70f313085ee1a3550649bffaba48aa68d34bd0ee9ce70c1ab8ce3261534c4e
Size: 326.45 kB - nettle-devel-2.7.1-8.el7.x86_64.rpm
MD5: ad93ebfbe9ee5ad799eef0b9cee2d912
SHA-256: a88db01673620de5ecca861c6be22ab59d2db735bc2ee2d7985fccc616bb0639
Size: 470.21 kB - nettle-2.7.1-8.el7.i686.rpm
MD5: a9c34ab6b1345980edc52322d36bc98c
SHA-256: 502ca4f31859cbb0bd61fb27096f69b5a85c36961a0f51ffdcdb0e24c9090f09
Size: 329.08 kB - nettle-devel-2.7.1-8.el7.i686.rpm
MD5: a935da9925e4a8059829bfcf8ddea08a
SHA-256: 261079b3449914e24f4d491b71d06ce6e9eb7e04fbc330030e13634c5eae0285
Size: 470.23 kB