CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2025-27587

Low
Published: Translated: NVD NIST

Summary

OpenSSL w wersjach od 3.0.0 do 3.3.2 na architekturze PowerPC jest podatny na atak Minerva. Atakujący może wykorzystać czas podpisywania losowych wiadomości przy użyciu API EVP_DigestSign, aby wydobyć wartość K (nonce) z podpisów.

Risk Assessment

Podatność ta może prowadzić do ujawnienia klucza prywatnego, co stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu. Organizacje mogą być narażone na ataki, które mogą skutkować kradzieżą danych lub nieautoryzowanym dostępem.

Recommendation

Zaleca się aktualizację OpenSSL do najnowszej wersji, która nie jest podatna na ten atak. Dodatkowo, monitorowanie i audytowanie użycia kluczy prywatnych mogą pomóc w wykrywaniu potencjalnych prób ataku.

Original NVD description (English source)

OpenSSL 3.0.0 through 3.3.2 on the PowerPC architecture is vulnerable to a Minerva attack, exploitable by measuring the time of signing of random messages using the EVP_DigestSign API, and then using the private key to extract the K value (nonce) from the signatures. Next, based on the bit size of t

Vulnerability data from NVD (NIST) · CISA KEV · EPSS