Vulnerabilidad en iPerf3 (CVE-2024-26306)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2024
Última modificación:
28/02/2025
Descripción
iPerf3 anterior a 3.17, cuando se usa con OpenSSL anterior a 3.2.0 como servidor con autenticación RSA, permite un canal lateral de temporización en las operaciones de descifrado RSA. Este canal lateral podría ser suficiente para que un atacante recupere el texto sin formato de las credenciales. Requiere que el atacante envíe una gran cantidad de mensajes para descifrarlos, como se describe en "Everlasting ROBOT: the Marvin Attack" de Hubert Kario.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://downloads.es.net/pub/iperf/esnet-secadv-2024-0001.txt.asc
- https://github.com/esnet/iperf/releases/tag/3.17
- https://www.insyde.com/security-pledge/SA-2024005
- https://downloads.es.net/pub/iperf/esnet-secadv-2024-0001.txt.asc
- https://github.com/esnet/iperf/releases/tag/3.17
- https://security.netapp.com/advisory/ntap-20250228-0007/