使用非恒定时间 base64 解码器可能导致 vodozemac 中的密钥材料泄露 (CVE-2024-40640)
CVE编号
CVE-2024-40640利用情况
暂无补丁情况
N/A披露时间
2024-07-18漏洞描述
vodozemac是一个用纯Rust语言实现的Olm和Megolm的开源实现。vodozemac版本低于0.7.0的实例在使用非恒定时间base64实现来导入Megolm组会话的密钥材料和`PkDecryption` Ed25519秘密密钥时存在漏洞。这一缺陷可能会让攻击者通过侧信道攻击推断出一些关于秘密密钥材料的的信息。使用非恒定时间的base64实现可能会让攻击者观察到编码和解码秘密密钥材料时的时序变化。这可能会揭示底层秘密密钥材料的信息。由于利用该漏洞需要访问高精度的时间测量值,并且需要反复访问base64编码或解码过程,因此该漏洞的影响被认为较小。此外,根据参考论文的评估,泄漏量是有界限且较低的。该漏洞已在提交号为734b6c6948d4b2bdee3dd8b4efa591d93a61d272的补丁中修复,并已包含在发布版本0.7.0中。建议用户进行升级。目前没有已知的此漏洞的解决方法。解决建议
"将组件 vodozemac 升级至 0.7.0 及以上版本"
参考链接 |
|
|---|---|
| https://arxiv.org/abs/2108.04600 | |
| https://github.com/matrix-org/vodozemac/commit/734b6c6948d4b2bdee3dd8b4efa591... | |
| https://github.com/matrix-org/vodozemac/security/advisories/GHSA-j8cm-g7r6-hfpq |
- 攻击路径 本地
- 攻击复杂度 高
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论