Vulnerabilidad en clase gnu.java.security.util.PRNG en GNU Classpath (CVE-2008-5659)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
17/12/2008
Última modificación:
09/04/2025
Descripción
La clase gnu.java.security.util.PRNG en GNU Classpath 0.97.2 y versiones anteriores usa una semilla predecible basada en la hora del sistema, la cual hace más fácil para atacantes dependientes de contexto, guiar un ataque de fuerza bruta contra rutinas criptográficas que usa esta clase para la aletoriedad, como se demuestra contra claves privadas DSA.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnu:classpath:*:*:*:*:*:*:*:* | 0.97.2 (incluyendo) | |
| cpe:2.3:a:gnu:classpath:0.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.13:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.14:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.15:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.16:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.17:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.18:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnu:classpath:0.19:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://gcc.gnu.org/bugzilla/show_bug.cgi?id=38417
- http://www.openwall.com/lists/oss-security/2008/12/06/2
- https://exchange.xforce.ibmcloud.com/vulnerabilities/47574
- http://gcc.gnu.org/bugzilla/show_bug.cgi?id=38417
- http://www.openwall.com/lists/oss-security/2008/12/06/2
- https://exchange.xforce.ibmcloud.com/vulnerabilities/47574