Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • J-SAFE3 version 1.2.5
  • STSAFE-J version 1.1.4 en configuration fermée

Résumé

Les vulnérabilités CVE-2021-43392 et CVE-2021-43393 ont été découvertes par l’ANSSI dans la Java Card J-SAFE3 et la plateforme STSAFE-J exposant une API Java Card 3.0.4, produits édités par STMicroelectronics.

Ces vulnérabilités sont présentes dans l’implémentation de l’algorithme de signature ECDSA dans les produits STSAFE-J version 1.1.4 en configuration fermée et J-SAFE3 version 1.2.5. Elles permettent à un attaquant d’obtenir des informations sur des secrets cryptographiques et d’exploiter la vérification de signature dans des conditions particulières.

Ces vulnérabilités sont exploitables pour STSAFE-J version 1.1.4 en configuration fermée et J-SIGN lorsque la vérification de signature est activée, mais pas pour JSAFE-3 EPASS BAS ni les produits EAC. Elles pourraient potentiellement être exploitées dans d’autres produits basés sur la plateforme Java Card J-SAFE-3.

🇬🇧 ENGLISH VERSION [english-version]

Two vulnerabilities have been discovered in STMicroelectronics products concerning the ECDSA signature algorithm on the Java Card J-SAFE3 and STSAFE-J platforms exposing a 3.0.4 Java Card API. These vulnerabilities allow attackers to obtain information on cryptographic secrets and abuse the signature verification under certain circumstances. These vulnerabilities are exploitable for STSAFE-J version 1.1.4 in closed configuration and J-SIGN (when signature verification is activated) but not for J-SAFE3 EPASS BAC and EAC products. They might as well impact other products based on the J-SAFE-3 Java Card platform.

Solution

L’éditeur indique avoir informé ses clients.

🇬🇧 The vendor indicates that customers were informed.

Documentation