Vulnérabilité dans la librairie cryptographique Nettle utilisée notamment par GNUTLS
Date de publication :
CVE-2021-20305 [Score CVSS v3 : 8.1]
Une faille a été corrigée dans Nettle. Dans plusieurs fonctions de vérification de signature Nettle (GOST DSA, EDDSA & ECDSA), la fonction de multiplication du point de cryptographie à courbe elliptique (ECC) est appelée avec des échelonneurs hors de portée, ce qui peut entraîner des résultats incorrects. Cette faille peut permettre à un attaquant distant et non-authentifié de forcer une signature invalide, provoquant un échec d'assertion ou une éventuelle validation.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exposition d’informations sensibles
- Usurpation d’identité
Criticité
- Scores CVSS v3 : 8.1
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible à l’heure actuelle.
Composants vulnérables
- Les versions de Nettle antérieures à la version 3.7.2 sont impactées par cette vulnérabilité.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Nettle vers la version 4.3.2
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.