私がテストしているアプリケーションには、OpenSSL「1.0.1e-fips」バージョンがあります。
この脆弱性CVE-2016-7056(ECDSA P-256キーリカバリタイミング攻撃)に遭遇し、OpenSSLがこの攻撃に対して脆弱であるかどうかを確認する方法を見つけることができませんでした。これを確認する方法/手順について知りたいです。アプリケーションの脆弱性。
開いているsslバージョンを確認しますopenssl--version
影響を受けるバージョン:OpenSSL 1.0.1uおよび以前のバージョンLibreSSL(6.0以前のエラッタ16、5.9以前のエラッタ33)2015年11月以前のBoringSSL
緩和策:影響を受けるバージョンのOpenSSLのユーザーは、[1]の原稿で入手可能なパッチを適用する必要があります。
LibreSSLのユーザーは、OpenBSD [2,3]の公式パッチを適用する必要があります。
BoringSSLのユーザーは、より新しいバージョンにアップグレードする必要があります。
あなたが本当にたくさんのものを読んで首を折る気があるなら、あなたはこのホワイトペーパーに書かれていることに基づいてCVEをPoCする方法を見つけるかもしれません:
seclistsに関するこの議論:
幸運を