Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Bouncy Castle BC (CVE-2018-1000180)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-327 Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
05/06/2018
Última modificación:
12/05/2025

Descripción

Bouncy Castle BC 1.54 - 1.59, BC-FJA 1.0.0, BC-FJA 1.0.1 y anteriores tiene un vulnerabilidad en la interfaz de bajo nivel del generador de claves RSA; específicamente, los pares de claves RSA generados en la API de bajo nivel con un valor certainty añadido pueden tener menos tests M-R de lo esperado. Parece que se ha resuelto en versiones BC 1.60 beta 4 y posteriores y BC-FJA 1.0.2 y posteriores.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:bouncycastle:bc-java:*:*:*:*:*:*:*:* 1.54 (incluyendo) 1.59 (incluyendo)
cpe:2.3:a:bouncycastle:fips_java_api:*:*:*:*:*:*:*:* 1.0.1 (incluyendo)
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:api_gateway:11.1.2.4.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:business_process_management_suite:11.1.1.9.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:business_process_management_suite:12.1.3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:business_process_management_suite:12.2.1.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:business_transaction_management:12.1.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_application_session_controller:3.7.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_application_session_controller:3.8.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_converged_application_server:*:*:*:*:*:*:*:* 7.0.0.1 (excluyendo)
cpe:2.3:a:oracle:communications_webrtc_session_controller:*:*:*:*:*:*:*:* 7.2 (excluyendo)
cpe:2.3:a:oracle:enterprise_repository:12.1.3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:managed_file_transfer:12.1.3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:managed_file_transfer:12.2.1.3.0:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información