Vulnérabilité dans la librairie cryptographique Nettle utilisée notamment par GNUTLS
Date de publication :
CVE-2021-20305 [Score CVSS v3 : 8.1]
Une faille a été corrigée dans Nettle. Dans plusieurs fonctions de vérification de signature Nettle (GOST DSA, EDDSA & ECDSA), la fonction de multiplication du point de cryptographie à courbe elliptique (ECC) est appelée avec des échelonneurs hors de portée, ce qui peut entraîner des résultats incorrects. Cette faille peut permettre à un attaquant distant et non-authentifié de forcer une signature invalide, provoquant un échec d'assertion ou une éventuelle validation.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Déni de service
Exposition d’informations sensibles
Usurpation d’identité
Criticité
-
Scores CVSS v3 : 8.1
Existence d’un code d’exploitation
-
Aucun code d'exploitation n’est disponible à l’heure actuelle.
Composants vulnérables
-
Les versions de Nettle antérieures à la version 3.7.2 sont impactées par cette vulnérabilité.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Nettle vers la version 4.3.2
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.