Vulnerabilidad en la biblioteca EC math en Bouncy Castle (CVE-2020-15522)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-362
Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
20/05/2021
Última modificación:
17/07/2025
Descripción
Bouncy Castle BC Java versiones anteriores a 1.66, BC C # .NET versiones anteriores a 1.8.7, BC-FJA versiones anteriores a 1.0.1.2, 1.0.2.1 y BC-FNA versiones anteriores a 1.0.1.1, presentan un problema de sincronización dentro de la biblioteca EC math que puede exponer información sobre la clave privada cuando un atacante es capaz de observar información de sincronización para la generación de múltiples firmas ECDSA deterministas
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:bouncycastle:bc-csharp:*:*:*:*:*:*:*:* | 1.8.7 (excluyendo) | |
| cpe:2.3:a:bouncycastle:bouncy_castle_fips_.net_api:*:*:*:*:*:*:*:* | 1.0.1.1 (excluyendo) | |
| cpe:2.3:a:bouncycastle:fips_java_api:*:*:*:*:*:*:*:* | 1.0.1.2 (excluyendo) | |
| cpe:2.3:a:bouncycastle:fips_java_api:*:*:*:*:*:*:*:* | 1.0.2 (incluyendo) | 1.0.2.1 (excluyendo) |
| cpe:2.3:a:bouncycastle:the_bouncy_castle_crypto_package_for_java:*:*:*:*:*:*:*:* | 1.66 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/bcgit/bc-csharp/wiki/CVE-2020-15522
- https://github.com/bcgit/bc-java/wiki/CVE-2020-15522
- https://security.netapp.com/advisory/ntap-20210622-0007/
- https://www.bouncycastle.org/releasenotes.html
- https://github.com/bcgit/bc-csharp/wiki/CVE-2020-15522
- https://github.com/bcgit/bc-java/wiki/CVE-2020-15522
- https://security.netapp.com/advisory/ntap-20210622-0007/
- https://www.bouncycastle.org/releasenotes.html