ftsafe k13 通过差异性导致的信息暴露

CVE编号

CVE-2021-3011

利用情况

暂无

补丁情况

N/A

披露时间

2021-01-08

漏洞描述

An electromagnetic-wave side-channel issue was discovered on NXP SmartMX / P5x security microcontrollers and A7x secure authentication microcontrollers, with CryptoLib through v2.9. It allows attackers to extract the ECDSA private key after extensive physical access (and consequently produce a clone). This was demonstrated on the Google Titan Security Key, based on an NXP A7005a chip. Other FIDO U2F security keys are also impacted (Yubico YubiKey Neo and Feitian K9, K13, K21, and K40) as well as several NXP JavaCard smartcards (J3A081, J2A081, J3A041, J3D145_M59, J2D145_M59, J3D120_M60, J3D082_M60, J2D120_M60, J2D082_M60, J3D081_M59, J2D081_M59, J3D081_M61, J2D081_M61, J3D081_M59_DF, J3D081_M61_DF, J3E081_M64, J3E081_M66, J2E081_M64, J3E041_M66, J3E016_M66, J3E016_M64, J3E041_M64, J3E145_M64, J3E120_M65, J3E082_M65, J2E145_M64, J2E120_M65, J2E082_M65, J3E081_M64_DF, J3E081_M66_DF, J3E041_M66_DF, J3E016_M66_DF, J3E041_M64_DF, and J3E016_M64_DF).

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://ninjalab.io/a-side-journey-to-titan/
https://ninjalab.io/wp-content/uploads/2021/01/a_side_journey_to_titan.pdf

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	硬件	ftsafe	k13	-	-
	运行在以下环境
	硬件	ftsafe	k21	-	-
	运行在以下环境
	硬件	ftsafe	k40	-	-
	运行在以下环境
	硬件	ftsafe	k9	-	-
	运行在以下环境
	硬件	google	titan_security_key	-	-
	运行在以下环境
	硬件	nxp	3a081	-	-
	运行在以下环境
	硬件	nxp	a7005a	-	-
	运行在以下环境
	硬件	nxp	j2a081	-	-
	运行在以下环境
	硬件	nxp	j2d081_m59	-	-
	运行在以下环境
	硬件	nxp	j2d081_m61	-	-
	运行在以下环境
	硬件	nxp	j2d082_m60	-	-
	运行在以下环境
	硬件	nxp	j2d120_m60	-	-
	运行在以下环境
	硬件	nxp	j2d145_m59	-	-
	运行在以下环境
	硬件	nxp	j2e081_m64	-	-
	运行在以下环境
	硬件	nxp	j2e082_m65	-	-
	运行在以下环境
	硬件	nxp	j2e120_m65	-	-
	运行在以下环境
	硬件	nxp	j2e145_m64	-	-
	运行在以下环境
	硬件	nxp	j3a041	-	-
	运行在以下环境
	硬件	nxp	j3d081_m59	-	-
	运行在以下环境
	硬件	nxp	j3d081_m59_df	-	-
	运行在以下环境
	硬件	nxp	j3d081_m61	-	-
	运行在以下环境
	硬件	nxp	j3d081_m61_df	-	-
	运行在以下环境
	硬件	nxp	j3d082_m60	-	-
	运行在以下环境
	硬件	nxp	j3d120_m60	-	-
	运行在以下环境
	硬件	nxp	j3d145_m59	-	-
	运行在以下环境
	硬件	nxp	j3e016_m64	-	-
	运行在以下环境
	硬件	nxp	j3e016_m64_df	-	-
	运行在以下环境
	硬件	nxp	j3e016_m66	-	-
	运行在以下环境
	硬件	nxp	j3e016_m66_df	-	-
	运行在以下环境
	硬件	nxp	j3e041_m64	-	-
	运行在以下环境
	硬件	nxp	j3e041_m64_df	-	-
	运行在以下环境
硬件	nxp	j3e041_m66	-	-
运行在以下环境
硬件	nxp	j3e041_m66_df	-	-
运行在以下环境
硬件	nxp	j3e081_m64	-	-
运行在以下环境
硬件	nxp	j3e081_m64_df	-	-
运行在以下环境
硬件	nxp	j3e081_m66	-	-
运行在以下环境
硬件	nxp	j3e081_m66_df	-	-
运行在以下环境
硬件	nxp	j3e082_m65	-	-
运行在以下环境
硬件	nxp	j3e120_m65	-	-
运行在以下环境
硬件	nxp	j3e145_m64	-	-
运行在以下环境
硬件	nxp	p5010	-	-
运行在以下环境
硬件	nxp	p5020	-	-
运行在以下环境
硬件	nxp	p5021	-	-
运行在以下环境
硬件	nxp	p5040	-	-
运行在以下环境
硬件	nxp	smartmx2_p60	-	-
运行在以下环境
硬件	nxp	smartmx3_p71d320	-	-
运行在以下环境
硬件	nxp	smartmx3_p71d321	-	-
运行在以下环境
硬件	yubico	yubikey_neo	-	-

CVSS3评分 4.2

• 攻击路径 物理
• 攻击复杂度 高
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 高
• 完整性 无

CVSS:3.1/AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-ID	漏洞类型
CWE-203	通过差异性导致的信息暴露

Exp相关链接

- avd.aliyun.com