AESFastEngine类中的信息泄漏

admin

0
文章

0
评论

2023-12-02 04:42:10 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 AESFastEngine类中的信息泄漏

CVE编号

CVE-2016-1000339

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-06-05

漏洞描述

在Bouncy Castle JCE Provider 1.55及更早版本中，用于AES的主要引擎类是AESFastEngine。由于算法中使用的高度表驱动方法，结果表明，如果可以监视CPU上的数据通道，则查找表访问足以泄漏有关所使用的AES密钥的信息。 AESEngine也有泄漏，尽管差不多。 AESEngine已被修改以消除任何泄漏迹象（在英特尔X86-64上进行测试），现在是1.56的BC JCE提供商的主要AES类。现在，只有在认为合适的情况下才建议使用AESFastEngine。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：http://www.bouncycastle.org/java.html

参考链接
https://access.redhat.com/errata/RHSA-2018:2669
https://access.redhat.com/errata/RHSA-2018:2927
https://github.com/bcgit/bc-java/commit/413b42f4d770456508585c830cfcde95f9b0e...
https://github.com/bcgit/bc-java/commit/8a73f08931450c17c749af067b6a8185abdfd...
https://lists.debian.org/debian-lts-announce/2018/07/msg00009.html
https://security.netapp.com/advisory/ntap-20181127-0004/
https://usn.ubuntu.com/3727-1/
https://www.oracle.com/security-alerts/cpuoct2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	bouncycastle	legion-of-the-bouncy-castle-java-crytography-api	*		Up to (including) 1.55
	运行在以下环境
	系统	debian_10	bouncycastle	*		Up to (excluding) 1.56-1
	运行在以下环境
	系统	debian_11	bouncycastle	*		Up to (excluding) 1.56-1
	运行在以下环境
	系统	debian_12	bouncycastle	*		Up to (excluding) 1.56-1
	运行在以下环境
	系统	debian_sid	bouncycastle	*		Up to (excluding) 1.56-1
	运行在以下环境
	系统	opensuse_Leap_42.3	bouncycastle	*		Up to (excluding) 1.59-23.3.1
	运行在以下环境
	系统	ubuntu_14.04	bouncycastle	*		Up to (excluding) 1.49+dfsg-2ubuntu0.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	bouncycastle	*		Up to (excluding) 1.49+dfsg-2ubuntu0.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	bouncycastle	*		Up to (excluding) 1.59-1
	运行在以下环境
	系统	ubuntu_18.10	bouncycastle	*		Up to (excluding) 1.60-1