본문 바로가기

Home > 정보마당 > 공개SW 보안취약점

공개SW 보안취약점

Bouncy Castle 1.46

License 관리자 게시글 작성 시각 2021-08-10 09:30:31 게시글 조회수 1892
컴포넌트 명 : Bouncy Castle
컴포넌트에 대한 취약점 정보
버전 정보 취약점 ID 취약점 최종 보고일 심각도
1.46 CVE-2018-5382 2021/04/21 7.5 (High)
취약점 ID : CVE-2018-5382
취약점 상세정보
취약점 설명 The default BKS keystore use an HMAC that is only 16 bits long, which can allow an attacker to compromise the integrity of a BKS keystore. Bouncy Castle release 1.47 changes the BKS format to a format which uses a 160 bit HMAC instead. This applies to any BKS keystore generated prior to BC 1.47. For situations where people need to create the files for legacy reasons a specific keystore type "BKS-V1" was introduced in 1.49. It should be noted that the use of "BKS-V1" is discouraged by the library authors and should only be used where it is otherwise safe to do so, as in where the use of a 16 bit checksum for the file integrity check is not going to cause a security issue in itself.

기본 BKS 키스토어는 길이가 16 비트에 불과한 HMAC를 사용하므로 공격자가 키스토어의 무결성을 손상시킬 수 있습니다. 1.47 버전은 BKS 형식을 160비트 HMAC를 대신 사용하는 형식으로 변경합니다. 이는 Bouncy Castle 1.47 이전 버전에 생성된 모든 BKS 키스토어에 적용됩니다. 사람들이 레거시 이유로 파일을 생성해야 하는 상황을 위해 특정 키스토어 유형 "BKS-V1"이 1.49에 도입되었습니다.
대응 방안 1.49 이상 버전으로 업데이트
기타 -

-

공개SW 보안취약점 - 번호, 컴포넌트 명 및 버전, 취약점ID, 심각도, 취약점 최종보고일, 대응방안
번호 컴포넌트 명 및 버전 취약점ID 심각도 취약점
최종 보고일
대응방안
163 y18n 5.0.0 CVE-2020-7774 7.5 (High) 2021/07/21 대응방안보기
162 swiper 5.3.8 CVE-2021-23370 7.5 (High) 2021/04/19 대응방안보기
161 Apache Hadoop 2.6.0 CVE-2017-3162 7.5 (High) 2021/07/03 대응방안보기
160 Apache Velocity Engine 1.5 CVE-2020-13936 9.0 (Critical) 2021/09/23 대응방안보기
159 Apache Commons Beanutils 1.8.3 CVE-2019-10086 7.5 (High) 2021/10/20 대응방안보기
158 TensorFlow 2.4.1 CVE-2021-37678 4.6 (Medium) 2021/08/19 대응방안보기
157 libmicrohttpd 0.9.23 CVE-2021-3466 10.0 (Critical) 2021/05/04 대응방안보기
156 Libevent 2.0.17 CVE-2014-6272 7.5 (High) 2017/12/08 대응방안보기
155 SQlite 3.25.0 CVE-2020-11656 7.5 (High) 2021/07/22 대응방안보기
154 Bouncy Castle 1.46 CVE-2018-5382 7.5 (High) 2021/04/21 대응방안보기
맨 위로
맨 위로