2018-0538: Bouncy Castle: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2018-03-19 18:29)

Neues Advisory

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann einen Designfehler in Bouncy Castle Keystores der Version 1 (BKS-V1) ausnutzen, um Sicherheitsvorkehrungen zu umgehen und dadurch den Inhalt einer BKS-V1 Datei ausspähen.

Die Schwachstelle existiert in allen BKS-Dateien welche mit Bouncy Castle Version 1.46 oder älter erzeugt wurden. Ab der Version 1.49 wurde die Legacy-Variante des Dateiformates BKS-V1 eingeführt, welche ebenfalls die Schwachstelle enthält und bis zur heutigen Version HMAC-Schlüssel mit nur 16 Bit Länge erstellt. Aufgrund der Einfachheit des Angriffs wird empfohlen, umgehend jegliche privaten Schlüssel bzw. Passwörter, welche durch BKS-V1 Keystores geschützt wurden, unbrauchbar zu machen und durch neue auszutauschen. Es sollte davon ausgegangen werden, dass alle Informationen innerhalb von BKS-V1 Dateien von einem Angreifer ausgespäht werden können, wenn ein zugriff auf die Datei möglich ist. Das BKS-V1-Dateiformat sollte nicht weiter verwendet werden.

Schwachstellen:

CVE-2018-5382

Schwachstelle in Bouncy Castle ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.