NVD Vulnerability Detail

CVE-2016-6298

Summary	The _Rsa15 class in the RSA 1.5 algorithm implementation in jwa.py in jwcrypto before 0.3.2 lacks the Random Filling protection mechanism, which makes it easier for remote attackers to obtain cleartext data via a Million Message Attack (MMA).
Publication Date	Sept. 2, 2016, 8:59 a.m.
Registration Date	Jan. 26, 2021, 2:15 p.m.
Last Update	Nov. 21, 2024, 11:55 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:latchset:jwcrypto::::::::					0.3.2

Related information, measures and tools

No	URL	タグ
1	http://www.securityfocus.com/bid/92729	Broken Link Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/92729	Broken Link Third Party Advisory VDB Entry
3	https://github.com/latchset/jwcrypto/commit/eb5be5bd94c8cae1d7f3ba9801377084d8e5a7ba	Issue Tracking Patch Vendor Advisory
4	https://github.com/latchset/jwcrypto/commit/eb5be5bd94c8cae1d7f3ba9801377084d8e5a7ba	Issue Tracking Patch Vendor Advisory
5	https://github.com/latchset/jwcrypto/issues/65	Issue Tracking Vendor Advisory
6	https://github.com/latchset/jwcrypto/issues/65	Issue Tracking Vendor Advisory
7	https://github.com/latchset/jwcrypto/pull/66	Issue Tracking Patch
8	https://github.com/latchset/jwcrypto/pull/66	Issue Tracking Patch
9	https://github.com/latchset/jwcrypto/releases/tag/v0.3.2	Patch Vendor Advisory
10	https://github.com/latchset/jwcrypto/releases/tag/v0.3.2	Patch Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html

JVN Vulnerability Information

jwcrypto の jwa.py の RSA 1.5 アルゴリズムの実装の _Rsa15 クラスにおける平文データを取得される脆弱性

Title	jwcrypto の jwa.py の RSA 1.5 アルゴリズムの実装の _Rsa15 クラスにおける平文データを取得される脆弱性
Summary	jwcrypto の jwa.py の RSA 1.5 アルゴリズムの実装の _Rsa15 クラスは、Random Filling 保護メカニズムを欠いているため、平文データを取得される脆弱性が存在します。
Possible impacts	第三者により、ミリオンメッセージ攻撃 (Million Message Attack) を介して、平文データを取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 1, 2016, midnight
Registration Date	Sept. 5, 2016, 11:25 a.m.
Last Update	Sept. 5, 2016, 11:25 a.m.

Affected System

JWCrypto project

JWCrypto 0.3.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-6298	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6298
GitHub
2	CVE-2016-6298: Million Messages Attack mitigation	https://github.com/latchset/jwcrypto/commit/eb5be5bd94c8cae1d7f3ba9801377084d8e5a7ba
3	CVE-2016-6298: Million Messages Attack vulnerability #65	https://github.com/latchset/jwcrypto/issues/65
National Vulnerability Database (NVD)
4	CVE-2016-6298	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6298

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
GitHub
1	Fix for CVE-2016-6298 #66	https://github.com/latchset/jwcrypto/pull/66
2	Security Release CVE-2016-6298	https://github.com/latchset/jwcrypto/releases/tag/v0.3.2

Change Log

No	Changed Details	Date of change
0	[2016年09月05日] 掲載	Feb. 17, 2018, 10:37 a.m.