Vulnerabilidad en GnuTLS (CVE-2024-28834)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
21/03/2024
Última modificación:
12/09/2024
Descripción
Se encontró una falla en GnuTLS. El ataque Minerva es una vulnerabilidad criptográfica que explota el comportamiento determinista en sistemas como GnuTLS, lo que genera filtraciones de canales laterales. En escenarios específicos, como cuando se usa el indicador GNUTLS_PRIVKEY_FLAG_REPRODUCIBLE, puede resultar en un paso notable en el tamaño del nonce de 513 a 512 bits, exponiendo un posible canal lateral de temporización.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:1784
- https://access.redhat.com/errata/RHSA-2024:1879
- https://access.redhat.com/errata/RHSA-2024:1997
- https://access.redhat.com/errata/RHSA-2024:2044
- https://access.redhat.com/errata/RHSA-2024:2570
- https://access.redhat.com/errata/RHSA-2024:2889
- https://access.redhat.com/security/cve/CVE-2024-28834
- https://bugzilla.redhat.com/show_bug.cgi?id=2269228
- https://lists.gnupg.org/pipermail/gnutls-help/2024-March/004845.html
- https://minerva.crocs.fi.muni.cz/