CVE-2017-13099

wolfSSL Bleichenbacher/ROBOT

CVSS 7.5 HIGHEPSS 24.9%CWE-203

En resumen

wolfSSL anterior a la versión 3.12.2 tiene una debilidad en cómo maneja el cifrado RSA durante conexiones TLS, permitiendo que los atacantes descubran gradualmente la clave privada a través de múltiples intentos de conexión. Esta es una falla grave que compromete toda la seguridad de las comunicaciones cifradas.

Detalle técnico

wolfSSL anterior a 3.12.2 implementa un oráculo Bleichenbacher débil en suites de intercambio de claves RSA, habilitando ataques de oráculo de relleno (ROBOT). Un atacante puede explotar diferencias en tiempos de respuesta o mensajes de error para recuperar texto plano y derivar progresivamente la clave privada sin autenticación; afecta la confidencialidad de todas las sesiones TLS con intercambio de claves RSA.

Resumen generado y traducido por IA a partir de la descripción oficial.

wolfSSL prior to version 3.12.2 provides a weak Bleichenbacher oracle when any TLS cipher suite using RSA key exchange is negotiated. An attacker can recover the private key from a vulnerable wolfSSL application. This vulnerability is referred to as "ROBOT."

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

wolfSSL · wolfSSL

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://cert-portal.siemens.com/productcert/pdf/ssa-464260.pdf https://github.com/wolfSSL/wolfssl/pull/1229 https://robotattack.org/http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2018-002.txt http://www.kb.cert.org/vuls/id/144389 http://www.securityfocus.com/bid/102174