漏洞标题
N/A
漏洞描述信息
在 OpenSSL 1.0.1 之前的版本(1.0.1s 和 1.0.2g 之前)的 crypto/bn/bn_exp.c 中的 MOD_EXP_CTIME_COPY_FROM_PREBUF 函数在模运算过程中没有正确考虑缓存银行访问时间,这使得本地用户更容易通过在一个与受害者相同的 Intel sandy bridge CPU 核心上运行 crafted 应用程序并利用缓存银行冲突(即“缓存注入”攻击)来发现 RSA 密钥。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The MOD_EXP_CTIME_COPY_FROM_PREBUF function in crypto/bn/bn_exp.c in OpenSSL 1.0.1 before 1.0.1s and 1.0.2 before 1.0.2g does not properly consider cache-bank access times during modular exponentiation, which makes it easier for local users to discover RSA keys by running a crafted application on the same Intel Sandy Bridge CPU core as a victim and leveraging cache-bank conflicts, aka a "CacheBleed" attack.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
OpenSSL 安全漏洞
漏洞描述信息
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。 OpenSSL 1.0.2及之前版本和1.0.1及之前版本中存在安全漏洞,该漏洞源于程序在执行模幂运算时没有考虑cache-bank访问时间。本地攻击者可通过运行特制的应用程序并借助存储体冲突,利用该漏洞实施旁路攻击,发现RSA密钥。
CVSS信息
N/A
漏洞类别
信息泄露