प्लेटफ़ॉर्म
java
घटक
org.bouncycastle:bcprov-jdk14
में ठीक किया गया
1.56
Bouncy Castle JCE Provider में CVE-2016-1000346 एक सुरक्षा भेद्यता है जो अन्य पार्टी की Diffie-Hellman (DH) सार्वजनिक कुंजी के सत्यापन में त्रुटि के कारण होती है। इस भेद्यता का शोषण करने पर हमलावर निजी कुंजी के बारे में जानकारी प्राप्त कर सकता है, खासकर जब स्थैतिक Diffie-Hellman का उपयोग किया जा रहा हो। यह भेद्यता Bouncy Castle JCE Provider के संस्करण 1.55 और पहले के संस्करणों को प्रभावित करती है। संस्करण 1.56 में इस समस्या का समाधान किया गया है।
CVE-2016-1000346 का शोषण करने वाला एक हमलावर, स्थैतिक Diffie-Hellman कुंजी विनिमय का उपयोग करने वाले सिस्टम में, अन्य पार्टी की निजी कुंजी के बारे में जानकारी प्राप्त कर सकता है। यह जानकारी हमलावर को संवेदनशील डेटा तक पहुंचने, सिस्टम को नियंत्रित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने की अनुमति दे सकती है। इस भेद्यता का प्रभाव उन अनुप्रयोगों और सेवाओं पर सबसे अधिक होगा जो Bouncy Castle JCE Provider का उपयोग सुरक्षित संचार के लिए करते हैं, जैसे कि सुरक्षित वेब सर्वर, ईमेल सर्वर और वर्चुअल प्राइवेट नेटवर्क (VPN)। यह भेद्यता, यदि शोषण किया जाता है, तो डेटा गोपनीयता और सिस्टम अखंडता के लिए गंभीर खतरा पैदा कर सकती है।
CVE-2016-1000346 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध कोई प्रूफ-ऑफ-कॉन्सेप्ट (PoC) नहीं है। NVD (National Vulnerability Database) में 2018-10-17 को प्रकाशित किया गया था।
Applications and systems relying on the Bouncy Castle JCE Provider for cryptographic operations, particularly those utilizing static Diffie-Hellman key exchange, are at risk. Legacy systems and applications that have not been updated regularly are especially vulnerable. Any environment where the confidentiality of private keys is critical is also at increased risk.
• java / application:
find / -name "bcprov-jdk14-*.jar" -mtime +30 # Find older JAR files• java / application:
// Check Bouncy Castle version at runtime
java -jar your_application.jar -Dbc.version=$(java -Djava.security.properties=/path/to/java.security -cp bcprov-jdk14-1.55.jar org.bouncycastle.version.Version) • java / application: Monitor application logs for unusual key exchange errors or warnings related to DH parameters.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.96% (76% शतमक)
CVSS वेक्टर
CVE-2016-1000346 को कम करने के लिए, Bouncy Castle JCE Provider को संस्करण 1.56 या बाद के संस्करण में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो स्थैतिक Diffie-Hellman कुंजी विनिमय का उपयोग करने वाले सिस्टम को अस्थायी रूप से अक्षम करने पर विचार करें। इसके अतिरिक्त, नेटवर्क ट्रैफ़िक की निगरानी करें और किसी भी असामान्य गतिविधि के लिए देखें जो इस भेद्यता के शोषण का संकेत दे सकती है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, कुंजी विनिमय प्रक्रिया का परीक्षण करें।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह Bouncy Castle JCE Provider में एक भेद्यता है जहां सार्वजनिक कुंजी का सत्यापन ठीक से नहीं किया जाता है, जिससे निजी कुंजी का खुलासा हो सकता है।
यदि आप Bouncy Castle JCE Provider के संस्करण 1.55 या पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Bouncy Castle JCE Provider को संस्करण 1.56 या बाद के संस्करण में अपडेट करें।
अभी तक सक्रिय शोषण का कोई सार्वजनिक प्रमाण नहीं है।
आप Bouncy Castle वेबसाइट पर सलाहकार पा सकते हैं: https://www.bouncycastle.org/security/advisories/
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।