Vulnerabilidad en la función ecc_256_modp en ecc-256.c en Nettle (CVE-2015-8803)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-254
Características de seguridad
Fecha de publicación:
23/02/2016
Última modificación:
12/04/2025
Descripción
La función ecc_256_modp en ecc-256.c en Nettle en versiones anteriores a 3.2 no maneja correctamente la propagación del acarreo y produce una salida incorrecta en su implementación de la curva elíptica P-256 NIST, lo que permite a atacantes tener un impacto no especificado a través de vectores desconocidos, una vulnerabilidad diferente a CVE-2015-8805.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nettle_project:nettle:*:*:*:*:*:*:*:* | 3.1.1 (incluyendo) | |
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:15.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:42.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:opensuse:13.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.fedoraproject.org/pipermail/package-announce/2016-February/176807.html
- http://lists.fedoraproject.org/pipermail/package-announce/2016-February/177229.html
- http://lists.fedoraproject.org/pipermail/package-announce/2016-February/177473.html
- http://lists.opensuse.org/opensuse-updates/2016-02/msg00091.html
- http://lists.opensuse.org/opensuse-updates/2016-02/msg00093.html
- http://lists.opensuse.org/opensuse-updates/2016-02/msg00100.html
- http://rhn.redhat.com/errata/RHSA-2016-2582.html
- http://www.openwall.com/lists/oss-security/2016/02/02/2
- http://www.openwall.com/lists/oss-security/2016/02/03/1
- http://www.ubuntu.com/usn/USN-2897-1
- https://blog.fuzzing-project.org/38-Miscomputations-of-elliptic-curve-scalar-multiplications-in-Nettle.html
- https://git.lysator.liu.se/nettle/nettle/commit/c71d2c9d20eeebb985e3872e4550137209e3ce4d
- https://lists.gnu.org/archive/html/info-gnu/2016-01/msg00006.html
- https://lists.lysator.liu.se/pipermail/nettle-bugs/2015/003028.html
- http://lists.fedoraproject.org/pipermail/package-announce/2016-February/176807.html
- http://lists.fedoraproject.org/pipermail/package-announce/2016-February/177229.html
- http://lists.fedoraproject.org/pipermail/package-announce/2016-February/177473.html
- http://lists.opensuse.org/opensuse-updates/2016-02/msg00091.html
- http://lists.opensuse.org/opensuse-updates/2016-02/msg00093.html
- http://lists.opensuse.org/opensuse-updates/2016-02/msg00100.html
- http://rhn.redhat.com/errata/RHSA-2016-2582.html
- http://www.openwall.com/lists/oss-security/2016/02/02/2
- http://www.openwall.com/lists/oss-security/2016/02/03/1
- http://www.ubuntu.com/usn/USN-2897-1
- https://blog.fuzzing-project.org/38-Miscomputations-of-elliptic-curve-scalar-multiplications-in-Nettle.html
- https://git.lysator.liu.se/nettle/nettle/commit/c71d2c9d20eeebb985e3872e4550137209e3ce4d
- https://lists.gnu.org/archive/html/info-gnu/2016-01/msg00006.html
- https://lists.lysator.liu.se/pipermail/nettle-bugs/2015/003028.html