Nettle 是一种跨平台的密码库,设计目标是能够在几乎所有环境中顺畅运行,既可用于面向对象语言的加密工具包,也可嵌入到像 LSH、GnuPG 这样的应用程序中,甚至可在内核空间中使用。
在 4 月 8 日,相关方发布了安全更新,修复了该库中发现的若干重要漏洞。以下是漏洞要点。
漏洞详情:
对应的漏洞编号为 CVE-2021-20305,CVSS 评分 8.1,严重性为“高”。
描述:在 Nettle 中存在一个漏洞,部分签名校验功能(包括 gost DSA、EDDSA 和 ECDSA)可能导致椭圆曲线点乘运算被越界调用,从而产生错误结果。攻击者可能利用该漏洞强制使用无效签名,引发断言失败或签名验证失败。这一漏洞对机密性、完整性和系统可用性构成重大威胁。
受影响的环境和版本包括以下发行版本(7.x 及 x86_64 等架构):
企业级 Linux Server 7 x86_64
企业级 Linux Workstation 7 x86_64
企业级 Linux Desktop 7 x86_64
企业级 Linux for IBM z 系统 7 s390x
企业级 Linux for Power,Big Endian 7 pPC64
企业级 Linux for Scientific Computing 7 x86_64
企业级 Linux for Power,Little Endian 7 pPC64le
解决方案:已经发布安全更新,关于应用更新的详细步骤,请参考官方说明。
