L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Bouncy Castle JCE : calcul incorrect de NatX.square

Synthèse de la vulnérabilité 

Un attaquant peut utiliser une erreur dans le calcul de NatX.square() dans l'implémentation ECDH de Bouncy Castle JCE, afin d'obtenir une clé statique.
Logiciels vulnérables : Bouncy Castle JCE.
Gravité de cette annonce : 1/4.
Date de création : 29/11/2016.
Références de cette vulnérabilité informatique : VIGILANCE-VUL-21223.

Description de la vulnérabilité 

Le produit Bouncy Castle JCE propose des méthodes pour élever au carré : Nat192.square(), Nat256.square(), SecP384R1Field.square(), etc. Ces fonctions sont utilisées uniquement pour le calcul avec des courbes elliptiques.

Cependant, une erreur se produit dans un cas sur 2^48, qui n'est pas détectée dans un cas sur 2^100. Lorsque des clés statiques (non éphémères) sont utilisées avec ECDH, un attaquant peut donc progressivement calculer la clé.

Un attaquant peut donc utiliser une erreur dans le calcul de NatX.square() dans l'implémentation ECDH de Bouncy Castle JCE, afin d'obtenir une clé statique.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette vulnérabilité cyber-sécurité concerne les logiciels ou systèmes comme Bouncy Castle JCE.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce de menace est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis de menace.

Solutions pour cette menace 

Bouncy Castle JCE : version 1.56 beta 7.
La version 1.56 beta 7 est corrigée :
  https://www.bouncycastle.org/betas

Bouncy Castle JCE : contre-mesure pour Static ECDH Ciphersuites.
Une contre-mesure consiste à désactiver Static ECDH Ciphersuites pour TLS/JSSE.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des avis de vulnérabilités logicielles. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.