Уязвимость CVE-2021-40528: Информация

Описание

The ElGamal implementation in Libgcrypt before 1.9.4 allows plaintext recovery because, during interaction between two cryptographic libraries, a certain dangerous combination of the prime defined by the receiver's public key, the generator defined by the receiver's public key, and the sender's ephemeral exponents can lead to a cross-configuration attack against OpenPGP.

Важность: MEDIUM (5,9) Вектор: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

URL: https://nvd.nist.gov/vuln/detail/CVE-2021-40528
Опубликовано: 6 сентября 2021 г.
Изменено: 7 ноября 2023 г.
Идентификатор типа ошибки: CWE-327

Исправленные пакеты

Имя пакета
Ветка
Исправлено в версии
Версия в репозитории
Errata ID
№ Задания
Состояние
libgcryptsisyphus1.9.4-alt11.10.2-alt2ALT-PU-2021-3312-1290321Исправлено
libgcryptsisyphus_e2k1.9.4-alt11.10.2-alt2ALT-PU-2022-3708-1-Исправлено
libgcryptp111.9.4-alt11.10.2-alt2ALT-PU-2021-3312-1290321Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка
Ресурс
https://ibm.github.io/system-security-research-updates/2021/07/20/insecurity-elgamal-pt1
  • Third Party Advisory
https://ibm.github.io/system-security-research-updates/2021/09/06/insecurity-elgamal-pt2
  • Exploit
  • Third Party Advisory
https://eprint.iacr.org/2021/923
  • Technical Description
  • Third Party Advisory
GLSA-202210-13
  • Third Party Advisory
https://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git%3Ba=commit%3Bh=3462280f2e23e16adf3ed5176e0f2413d8861320

      1. Конфигурация 1

        cpe:2.3:a:gnupg:libgcrypt:*:*:*:*:*:*:*:*
        End excliding
        1.9.4
    VKontakte|Telegram|YouTube|Forum|GitHub|Bugzilla
    Версия: v24.5.3
    Наверх