Katalog CVE

CVE-2025-27587

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenSSL w wersjach od 3.0.0 do 3.3.2 na architekturze PowerPC jest podatny na atak Minerva. Atakujący może wykorzystać czas podpisywania losowych wiadomości przy użyciu API EVP_DigestSign, aby wydobyć wartość K (nonce) z podpisów.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia klucza prywatnego, co stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu. Organizacje mogą być narażone na ataki, które mogą skutkować kradzieżą danych lub nieautoryzowanym dostępem.

Rekomendacja

Zaleca się aktualizację OpenSSL do najnowszej wersji, która nie jest podatna na ten atak. Dodatkowo, monitorowanie i audytowanie użycia kluczy prywatnych mogą pomóc w wykrywaniu potencjalnych prób ataku.

Oryginalny opis (angielski, źródło NVD)

OpenSSL 3.0.0 through 3.3.2 on the PowerPC architecture is vulnerable to a Minerva attack, exploitable by measuring the time of signing of random messages using the EVP_DigestSign API, and then using the private key to extract the K value (nonce) from the signatures. Next, based on the bit size of t

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS