Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en una implementación de ElGamal en Botan (CVE-2021-40529)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-327 Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
06/09/2021
Última modificación:
07/11/2023

Descripción

Una implementación de ElGamal en Botan versiones hasta 2.18.1, tal y como se usa en Thunderbird y otros productos, permite una recuperación de texto plano porque, durante la interacción entre dos bibliotecas criptográficas, una determinada combinación peligrosa del primo definido por la clave pública del receptor, el generador definido por la clave pública del receptor y los exponentes efímeros del emisor puede conllevar a un ataque de configuración cruzada contra OpenPGP.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:botan_project:botan:*:*:*:*:*:*:*:* 2.18.1 (incluyendo)
cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:* 91.12.0 (excluyendo)