Plateforme
java
Composant
org.bouncycastle:bcprov-jdk14
Corrigé dans
1.56
La vulnérabilité CVE-2016-1000346 affecte la bibliothèque Bouncy Castle JCE Provider, versions 1.55 et antérieures. Elle réside dans une validation insuffisante de la clé publique DH de l'autre partie, ce qui peut entraîner la divulgation d'informations sensibles concernant la clé privée de l'autre participant lors de l'utilisation de Diffie-Hellman statique. La correction a été intégrée à partir de la version 1.56 de la bibliothèque.
Cette faille de validation permet à un attaquant d'exploiter une faiblesse dans le processus d'échange de clés Diffie-Hellman. En fournissant une clé publique DH malformée, l'attaquant peut potentiellement obtenir des informations sur la clé privée de l'autre partie. Cela pourrait permettre de déchiffrer des communications chiffrées, d'usurper l'identité d'un utilisateur ou de compromettre la confidentialité des données. L'impact est particulièrement critique dans les environnements où Diffie-Hellman statique est utilisé, car la clé privée est susceptible d'être compromise de manière persistante.
La vulnérabilité CVE-2016-1000346 a été publiée en 2018. Bien qu'il n'y ait pas de preuves publiques d'exploitation active à grande échelle, la nature de la vulnérabilité (fuite potentielle de clés privées) en fait une cible potentielle pour les attaquants. Il n'est pas répertorié sur le KEV de CISA. Des preuves de concept publiques sont disponibles, ce qui facilite l'exploitation par des acteurs malveillants.
Applications and systems relying on the Bouncy Castle JCE Provider for cryptographic operations, particularly those utilizing static Diffie-Hellman key exchange, are at risk. Legacy systems and applications that have not been updated regularly are especially vulnerable. Any environment where the confidentiality of private keys is critical is also at increased risk.
• java / application:
find / -name "bcprov-jdk14-*.jar" -mtime +30 # Find older JAR files• java / application:
// Check Bouncy Castle version at runtime
java -jar your_application.jar -Dbc.version=$(java -Djava.security.properties=/path/to/java.security -cp bcprov-jdk14-1.55.jar org.bouncycastle.version.Version) • java / application: Monitor application logs for unusual key exchange errors or warnings related to DH parameters.
disclosure
Statut de l'Exploit
EPSS
0.96% (percentile 76%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque Bouncy Castle JCE Provider vers la version 1.56 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement l'utilisation de Diffie-Hellman statique, si cela est possible dans votre application. Une analyse du code source peut aider à identifier les points d'utilisation de la bibliothèque et à appliquer des correctifs spécifiques. Après la mise à jour, vérifiez que la validation des clés DH fonctionne correctement en effectuant des tests de communication chiffrée.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2016-1000346 is a vulnerability in Bouncy Castle JCE Provider versions up to 1.55 where insufficient validation of DH public keys can lead to private key compromise.
You are affected if you are using Bouncy Castle JCE Provider version 1.55 or earlier. Check your dependencies to determine if you are using a vulnerable version.
Upgrade to Bouncy Castle JCE Provider version 1.56 or later to address the vulnerability. This version includes improved key parameter validation.
There is no current evidence of active exploitation campaigns targeting CVE-2016-1000346, but the potential for key compromise remains a concern.
Refer to the Bouncy Castle security advisories on their official website: https://www.bouncycastle.org/security/.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.