漏洞标题
N/A
漏洞描述信息
**争议**,在Android 5.x和6.x中使用的AES-GCM规格 RFC 5084 建议为aes-ICVlen参数字段使用12个八进制数,这可能会使得攻击者更容易绕过加密保护机制并通过设计应用程序(也被称为内部 bug 26234568)发现认证密钥。请注意:供应商否认在Android中存在这种潜在问题,表示“这个CVE是在错误地提出的:它涉及GCM中的认证标签大小,根据ASN.1编码(12字节)的默认值可能导致漏洞。经过仔细考虑,得出结论,12字节的不安全性默认值仅用于编码,而不是在Android中其他地方的默认值,因此不存在漏洞。”
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The AES-GCM specification in RFC 5084, as used in Android 5.x and 6.x, recommends 12 octets for the aes-ICVlen parameter field, which might make it easier for attackers to defeat a cryptographic protection mechanism and discover an authentication key via a crafted application, aka internal bug 26234568. NOTE: The vendor disputes the existence of this potential issue in Android, stating "This CVE was raised in error: it referred to the authentication tag size in GCM, whose default according to ASN.1 encoding (12 bytes) can lead to vulnerabilities. After careful consideration, it was decided that the insecure default value of 12 bytes was a default only for the encoding and not default anywhere else in Android, and hence no vulnerability existed.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Android Bouncy Castle Crypto APIs for Java 信息泄露漏洞
漏洞描述信息
Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Bouncy Castle Crypto APIs for Java是一个用于Java平台且开源的轻量级密码包。 Android的Bouncy Castle Crypto APIs for Java中的asn1/cms/GCMParameters.java文件存在信息泄露漏洞,该漏洞源于程序使用不正确的AES-GCM-ICVlen值。攻击者可借助特制的应用程序利用该漏洞破坏机密保护机
CVSS信息
N/A
漏洞类别
信息泄露