CVE-2019-19962
https://notcve.org/view.php?id=CVE-2019-19962
wolfSSL before 4.3.0 mishandles calls to wc_SignatureGenerateHash, leading to fault injection in RSA cryptography. wolfSSL versiones anteriores a 4.3.0 maneja inapropiadamente las llamadas a la función wc_SignatureGenerateHash, conllevando a la inyección de fallos en la criptografía RSA. • https://github.com/wolfSSL/wolfssl/commit/23878512c65834d12811b1107d19a001478eca5d https://github.com/wolfSSL/wolfssl/releases/tag/v4.3.0-stable • CWE-347: Improper Verification of Cryptographic Signature •
CVE-2019-19963
https://notcve.org/view.php?id=CVE-2019-19963
An issue was discovered in wolfSSL before 4.3.0 in a non-default configuration where DSA is enabled. DSA signing uses the BEEA algorithm during modular inversion of the nonce, leading to a side-channel attack against the nonce. Se detectó un problema en wolfSSL versiones anteriores a 4.3.0, en una configuración no predeterminada donde DSA está habilitado. La firma DSA utiliza el algoritmo BEEA durante la inversión modular del nonce, conllevando a un ataque de canal lateral contra el nonce. • https://github.com/wolfSSL/wolfssl/commit/7e391f0fd57f2ef375b1174d752a56ce34b2b190 https://github.com/wolfSSL/wolfssl/releases/tag/v4.3.0-stable •
CVE-2019-14317
https://notcve.org/view.php?id=CVE-2019-14317
wolfSSL and wolfCrypt 4.1.0 and earlier (formerly known as CyaSSL) generate biased DSA nonces. This allows a remote attacker to compute the long term private key from several hundred DSA signatures via a lattice attack. The issue occurs because dsa.c fixes two bits of the generated nonces. wolfSSL and wolfCrypt versión 4.1.0 y anteriores (anteriormente conocido como CyaSSL), generan nonces DSA sesgados. Esto permite a un atacante remoto calcular la clave privada a largo plazo de varios cientos de firmas DSA por medio de un ataque de tipo lattice. El problema se presenta porque el archivo dsa.c corrige dos bits de los nonces generados. • https://www.wolfssl.com/docs/security-vulnerabilities • CWE-331: Insufficient Entropy •
CVE-2014-2904
https://notcve.org/view.php?id=CVE-2014-2904
wolfssl before 3.2.0 has a server certificate that is not properly authorized for server authentication. wolfssl versiones anteriores a 3.2.0, presenta un certificado de servidor que no está autorizado apropiadamente por la autenticación del servidor. • http://www.openwall.com/lists/oss-security/2014/04/18/2 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=792646 https://security-tracker.debian.org/tracker/CVE-2014-2904 • CWE-287: Improper Authentication •
CVE-2014-2902
https://notcve.org/view.php?id=CVE-2014-2902
wolfssl before 3.2.0 does not properly authorize CA certificate for signing other certificates. wolfssl versiones anteriores a 3.2.0, no autoriza correctamente el certificado CA para firmar otros certificados. • http://www.openwall.com/lists/oss-security/2014/04/18/2 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=792646 https://security-tracker.debian.org/tracker/CVE-2014-2902 • CWE-295: Improper Certificate Validation •