Platform
java
Component
org.bouncycastle:bcprov-jdk14
Opgelost in
1.56
CVE-2016-1000346 beschrijft een kwetsbaarheid in de Bouncy Castle JCE Provider, specifiek gerelateerd aan de validatie van Diffie-Hellman (DH) publieke sleutels. Deze onvoldoende validatie kan in bepaalde scenario's leiden tot het lekken van informatie over de private sleutel van de andere partij, vooral bij het gebruik van statische Diffie-Hellman. De kwetsbaarheid treft versies van de provider tot en met 1.55, en is verholpen in versie 1.56.
Een succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen om gevoelige informatie over de private sleutel van de andere partij te achterhalen. Dit kan leiden tot het compromitteren van de vertrouwelijkheid van communicatie die versleuteld is met behulp van de betreffende DH-sleuteluitwisseling. Hoewel de CVSS score als 'LOW' wordt beschouwd, kan de impact aanzienlijk zijn in omgevingen waar statische Diffie-Hellman wordt gebruikt voor langdurige sleuteluitwisselingen, omdat een aanvaller over tijd informatie kan verzamelen om de private sleutel te reconstrueren. De kwetsbaarheid is niet direct een RCE, maar kan leiden tot een verlies van vertrouwelijkheid en integriteit van data.
Deze kwetsbaarheid is niet breed gerapporteerd als actief misbruikt in de praktijk. Er zijn geen publieke exploitatiecampagnes bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat duidt op een potentieel risico, maar geen actieve exploitatie. Er zijn geen publieke Proof-of-Concept (PoC) exploits beschikbaar, wat de exploitatiecomplexiteit verhoogt. De publicatiedatum van de CVE is 2018-10-17.
Applications and systems relying on the Bouncy Castle JCE Provider for cryptographic operations, particularly those utilizing static Diffie-Hellman key exchange, are at risk. Legacy systems and applications that have not been updated regularly are especially vulnerable. Any environment where the confidentiality of private keys is critical is also at increased risk.
• java / application:
find / -name "bcprov-jdk14-*.jar" -mtime +30 # Find older JAR files• java / application:
// Check Bouncy Castle version at runtime
java -jar your_application.jar -Dbc.version=$(java -Djava.security.properties=/path/to/java.security -cp bcprov-jdk14-1.55.jar org.bouncycastle.version.Version) • java / application: Monitor application logs for unusual key exchange errors or warnings related to DH parameters.
disclosure
Exploit Status
EPSS
0.96% (76% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2016-1000346 is het upgraden van de Bouncy Castle JCE Provider naar versie 1.56 of hoger. Deze versie bevat de correctie die de validatie van de DH publieke sleutel verbetert. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen, zoals het vermijden van statische Diffie-Hellman waar mogelijk en het gebruik van sterkere sleuteluitwisselingsprotocollen. Controleer de applicatieconfiguratie om te verzekeren dat de provider correct is geïntegreerd en dat er geen onnodige privileges worden verleend. Na de upgrade, verifieer de correcte werking van de applicatie en controleer de logbestanden op onverwachte fouten.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2016-1000346 is a vulnerability in Bouncy Castle JCE Provider versions up to 1.55 where insufficient validation of DH public keys can lead to private key compromise.
You are affected if you are using Bouncy Castle JCE Provider version 1.55 or earlier. Check your dependencies to determine if you are using a vulnerable version.
Upgrade to Bouncy Castle JCE Provider version 1.56 or later to address the vulnerability. This version includes improved key parameter validation.
There is no current evidence of active exploitation campaigns targeting CVE-2016-1000346, but the potential for key compromise remains a concern.
Refer to the Bouncy Castle security advisories on their official website: https://www.bouncycastle.org/security/.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.