CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 1CVE-2018-6594
https://notcve.org/view.php?id=CVE-2018-6594
lib/Crypto/PublicKey/ElGamal.py in PyCrypto through 2.6.1 generates weak ElGamal key parameters, which allows attackers to obtain sensitive information by reading ciphertext data (i.e., it does not have semantic security in face of a ciphertext-only attack). The Decisional Diffie-Hellman (DDH) assumption does not hold for PyCrypto's ElGamal implementation. lib/Crypto/PublicKey/ElGamal.py en PyCrypto hasta la versión 2.6.1 genera parámetros de clave ElGamal débiles, lo que permite que atacantes remotos obtengan información sensible mediante la lectura de datos en texto cifrado (p.ej., no tiene seguridad semántica a la hora de enfrentarse a un ataque solo en texto cifrado). La hipótesis DDH (Decisional Diffie-Hellman) no soporta la implementación ElGamal de PyCrypto. • https://github.com/TElgamal/attack-on-pycrypto-elgamal https://github.com/dlitz/pycrypto/issues/253 https://lists.debian.org/debian-lts-announce/2018/02/msg00018.html https://security.gentoo.org/glsa/202007-62 https://usn.ubuntu.com/3616-1 https://usn.ubuntu.com/3616-2 • CWE-326: Inadequate Encryption Strength •
CVSS: 9.8EPSS: 1%CPEs: 3EXPL: 1CVE-2013-7459
https://notcve.org/view.php?id=CVE-2013-7459
Heap-based buffer overflow in the ALGnew function in block_templace.c in Python Cryptography Toolkit (aka pycrypto) allows remote attackers to execute arbitrary code as demonstrated by a crafted iv parameter to cryptmsg.py. Desbordamiento de búfer basado en memoria dinámica en la función ALGnew en block_templace.c en Python Cryptography Toolkit (también conocido como pycrypto) permite a atacantes remotos ejecutar código arbitrario como se demuestra por un parámetro iv manipulado para cryptmsg.py. • http://www.openwall.com/lists/oss-security/2016/12/27/8 http://www.securityfocus.com/bid/95122 https://bugzilla.redhat.com/show_bug.cgi?id=1409754 https://github.com/dlitz/pycrypto/commit/8dbe0dc3eea5c689d4f76b37b93fe216cf1f00d4 https://github.com/dlitz/pycrypto/issues/176 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/C6BWNADPLKDBBQBUT3P75W7HAJCE7M3B https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/RJ37R2YLX56YZABFNAOWV4VTHTGYREAE https • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 4.3EPSS: 0%CPEs: 12EXPL: 2CVE-2013-1445
https://notcve.org/view.php?id=CVE-2013-1445
The Crypto.Random.atfork function in PyCrypto before 2.6.1 does not properly reseed the pseudo-random number generator (PRNG) before allowing a child process to access it, which makes it easier for context-dependent attackers to obtain sensitive information by leveraging a race condition in which a child process is created and accesses the PRNG within the same rate-limit period as another process. La función Crypto.Random.atfork en PyCrypto anterior a 2.6.1 no reestablece correctamente la semilla en el generador de números pseudoaleatorios (PRNG) antes de permitir el acceso a un proceso hijo, lo cual facilita a atacantes dependientes del contexto obtener información sensible provocando una condición de carrera en la cual un proceso hijo es creado y accede el PRNG con el mismo límite de periodo que otro proceso. • http://www.debian.org/security/2013/dsa-2781 http://www.openwall.com/lists/oss-security/2013/10/17/3 https://github.com/dlitz/pycrypto/commit/19dcf7b15d61b7dc1a125a367151de40df6ef175 • CWE-310: Cryptographic Issues •
CVSS: 4.3EPSS: 0%CPEs: 21EXPL: 1CVE-2012-2417
https://notcve.org/view.php?id=CVE-2012-2417
PyCrypto before 2.6 does not produce appropriate prime numbers when using an ElGamal scheme to generate a key, which reduces the signature space or public key space and makes it easier for attackers to conduct brute force attacks to obtain the private key. Pycrypto anterior a v2.6 no genera adecuadamente los números primos cuando se utiliza un esquema basado en ElGamal para generar una clave, lo que reduce el espacio de la firma o el espacio de claves pública y hace más fácil para los atacantes para llevar a cabo ataques de fuerza bruta para obtener la clave privada. • http://lists.fedoraproject.org/pipermail/package-announce/2012-June/081713.html http://lists.fedoraproject.org/pipermail/package-announce/2012-June/081759.html http://lists.fedoraproject.org/pipermail/package-announce/2012-June/081789.html http://secunia.com/advisories/49263 http://www.debian.org/security/2012/dsa-2502 http://www.mandriva.com/security/advisories?name=MDVSA-2012:117 http://www.openwall.com/lists/oss-security/2012/05/25/1 http://www.osvdb.org/82279 http://www.securityf • CWE-310: Cryptographic Issues •