S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 22 février 2022
N° CERTFR-2022-AVI-169
Affaire suivie par: CERT-FR
le 22 février 2022

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits STMicroelectronics

Gestion du document

Référence CERTFR-2022-AVI-169
Titre Multiples vulnérabilités dans les produits STMicroelectronics
Date de la première version 22 février 2022
Date de la dernière version 16 mars 2022
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • STSAFE-J version 1.1.4 en configuration fermée
  • J-SAFE3 version 1.2.5

Résumé

Les vulnérabilités CVE-2021-43392 et CVE-2021-43393 ont été découvertes par l’ANSSI dans la Java Card J-SAFE3 et la plateforme STSAFE-J exposant une API Java Card 3.0.4, produits édités par STMicroelectronics.

Ces vulnérabilités sont présentes dans l’implémentation de l’algorithme de signature ECDSA dans les produits STSAFE-J version 1.1.4 en configuration fermée et J-SAFE3 version 1.2.5. Elles permettent à un attaquant d’obtenir des informations sur des secrets cryptographiques et d’exploiter la vérification de signature dans des conditions particulières.

Ces vulnérabilités sont exploitables pour STSAFE-J version 1.1.4 en configuration fermée et J-SIGN lorsque la vérification de signature est activée, mais pas pour JSAFE-3 EPASS BAS ni les produits EAC. Elles pourraient potentiellement être exploitées dans d’autres produits basés sur la plateforme Java Card J-SAFE-3.

🇬🇧 ENGLISH VERSION

Two vulnerabilities have been discovered in STMicroelectronics products concerning the ECDSA signature algorithm on the Java Card J-SAFE3 and STSAFE-J platforms exposing a 3.0.4 Java Card API. These vulnerabilities allow attackers to obtain information on cryptographic secrets and abuse the signature verification under certain circumstances. These vulnerabilities are exploitable for STSAFE-J version 1.1.4 in closed configuration and J-SIGN (when signature verification is activated) but not for J-SAFE3 EPASS BAC and EAC products. They might as well impact other products based on the J-SAFE-3 Java Card platform.

Solution

L’éditeur indique avoir informé ses clients.

🇬🇧 The vendor indicates that customers were informed.

Documentation

 

Données NVD :

CVE-2021-43392 : CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N score 5.9
CVE-2021-43393 : CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:H/A:N score 5.5

Gestion détaillée du document

    le 22 février 2022
    Version initiale
    le 16 mars 2022
    correction vecteur AC:H