Android の Java Cryptography Architecture で使用される Apache Harmony における暗号保護メカニズムを破られる脆弱性
| Title |
Android の Java Cryptography Architecture で使用される Apache Harmony における暗号保護メカニズムを破られる脆弱性
|
| Summary |
Android の Java Cryptography Architecture (JCA) で使用される Apache Harmony の SecureRandom の実装内の classlib/modules/security/src/main/java/common/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java の engineNextBytes 関数は、ユーザにより提供されたシードがない場合、不正なオフセット値を使用するため、暗号保護メカニズムを破られる脆弱性が存在します。 本脆弱性の Bitcoin ウォレットアプリケーションを対象とした攻撃が 2013 年 8 月に観測されています。
|
| Possible impacts |
攻撃者により、予測可能な PRNG の生成結果を利用されることで、暗号保護メカニズムを破られる可能性があります。 |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Aug. 14, 2013, midnight |
| Registration Date |
May 2, 2014, 4:45 p.m. |
| Last Update |
May 2, 2014, 4:45 p.m. |
|
CVSS2.0 : 警告
|
| Score |
5
|
| Vector |
AV:N/AC:L/Au:N/C:N/I:P/A:N |
Affected System
| Apache Software Foundation |
|
Apache Harmony 6.0M3 まで
|
| Google |
|
Android 4.4 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2014年05月02日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2013-7372
| Summary |
The engineNextBytes function in classlib/modules/security/src/main/java/common/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java in the SecureRandom implementation in Apache Harmony through 6.0M3, as used in the Java Cryptography Architecture (JCA) in Android before 4.4 and other products, when no seed is provided by the user, uses an incorrect offset value, which makes it easier for attackers to defeat cryptographic protection mechanisms by leveraging the resulting PRNG predictability, as exploited in the wild against Bitcoin wallet applications in August 2013.
|
| Publication Date |
April 30, 2014, 5:55 a.m. |
| Registration Date |
Jan. 26, 2021, 3:49 p.m. |
| Last Update |
Nov. 21, 2024, 11 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:google:android:4.2:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:google:android:4.1:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:google:android:4.0.2:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:google:android:*:*:*:*:*:*:*:* |
|
4.3.1 |
|
|
| cpe:2.3:o:google:android:4.0.4:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:google:android:4.3:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:google:android:4.0.1:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:google:android:4.2.1:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:google:android:4.0.3:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:google:android:4.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:o:google:android:4.2.2:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:apache:harmony:*:m3:*:*:*:*:*:* |
|
6.0 |
|
|
| cpe:2.3:o:google:android:4.1.2:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List