Plataforma
java
Componente
org.bouncycastle:bcprov-jdk14
Corrigido em
1.56
A vulnerabilidade CVE-2016-1000346 afeta a biblioteca Bouncy Castle JCE Provider (bcprov-jdk14) em versões anteriores ou iguais a 1.55. A falha na validação completa da chave pública Diffie-Hellman (DH) pode levar à exposição de informações sensíveis sobre a chave privada da outra parte, especialmente em cenários de Diffie-Hellman estático. A correção foi disponibilizada na versão 1.56 da biblioteca.
Um atacante pode explorar essa vulnerabilidade para comprometer a confidencialidade das comunicações criptografadas que utilizam o protocolo Diffie-Hellman. Ao apresentar uma chave pública DH inválida, o atacante pode influenciar o cálculo das chaves de sessão, potencialmente obtendo acesso a informações confidenciais trocadas entre as partes. A exploração bem-sucedida pode resultar na leitura de dados sensíveis, como senhas, chaves de criptografia ou informações de identificação pessoal (PII). A gravidade do impacto depende do contexto de uso da biblioteca e da sensibilidade dos dados protegidos.
A vulnerabilidade CVE-2016-1000346 foi divulgada em 2018. Não há evidências de exploração ativa em larga escala, mas a natureza da vulnerabilidade, que afeta a criptografia, a torna um alvo potencial para ataques direcionados. Não foi adicionada ao KEV da CISA. A existência de uma correção disponível indica que a vulnerabilidade é conhecida e pode ser explorada por atacantes com conhecimento técnico.
Applications and systems relying on the Bouncy Castle JCE Provider for cryptographic operations, particularly those utilizing static Diffie-Hellman key exchange, are at risk. Legacy systems and applications that have not been updated regularly are especially vulnerable. Any environment where the confidentiality of private keys is critical is also at increased risk.
• java / application:
find / -name "bcprov-jdk14-*.jar" -mtime +30 # Find older JAR files• java / application:
// Check Bouncy Castle version at runtime
java -jar your_application.jar -Dbc.version=$(java -Djava.security.properties=/path/to/java.security -cp bcprov-jdk14-1.55.jar org.bouncycastle.version.Version) • java / application: Monitor application logs for unusual key exchange errors or warnings related to DH parameters.
disclosure
Status do Exploit
EPSS
0.96% (percentil 76%)
Vetor CVSS
A mitigação primária para CVE-2016-1000346 é atualizar a biblioteca Bouncy Castle JCE Provider para a versão 1.56 ou superior, que inclui a validação adequada da chave pública DH. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como a revisão rigorosa das configurações de Diffie-Hellman e a monitorização de atividades suspeitas na rede. Não há workarounds conhecidos além da atualização. Após a atualização, confirme a correção verificando a versão da biblioteca e realizando testes de comunicação criptografada.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2016-1000346 is a vulnerability in Bouncy Castle JCE Provider versions up to 1.55 where insufficient validation of DH public keys can lead to private key compromise.
You are affected if you are using Bouncy Castle JCE Provider version 1.55 or earlier. Check your dependencies to determine if you are using a vulnerable version.
Upgrade to Bouncy Castle JCE Provider version 1.56 or later to address the vulnerability. This version includes improved key parameter validation.
There is no current evidence of active exploitation campaigns targeting CVE-2016-1000346, but the potential for key compromise remains a concern.
Refer to the Bouncy Castle security advisories on their official website: https://www.bouncycastle.org/security/.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.