CVE-2025-27587
NiskieStreszczenie
OpenSSL w wersjach od 3.0.0 do 3.3.2 na architekturze PowerPC jest podatny na atak Minerva. Atakujący może wykorzystać czas podpisywania losowych wiadomości przy użyciu API EVP_DigestSign, aby wydobyć wartość K (nonce) z podpisów.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia klucza prywatnego, co stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu. Organizacje mogą być narażone na ataki, które mogą skutkować kradzieżą danych lub nieautoryzowanym dostępem.
Rekomendacja
Zaleca się aktualizację OpenSSL do najnowszej wersji, która nie jest podatna na ten atak. Dodatkowo, monitorowanie i audytowanie użycia kluczy prywatnych mogą pomóc w wykrywaniu potencjalnych prób ataku.
Oryginalny opis (angielski, źródło NVD)
OpenSSL 3.0.0 through 3.3.2 on the PowerPC architecture is vulnerable to a Minerva attack, exploitable by measuring the time of signing of random messages using the EVP_DigestSign API, and then using the private key to extract the K value (nonce) from the signatures. Next, based on the bit size of t

