使用非恒定时间 base64 解码器可能导致 vodozemac 中的密钥材料泄露 (CVE-2024-40640)

admin 2024-08-05 14:03:43 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
使用非恒定时间 base64 解码器可能导致 vodozemac 中的密钥材料泄露 (CVE-2024-40640)

CVE编号

CVE-2024-40640

利用情况

暂无

补丁情况

N/A

披露时间

2024-07-18
漏洞描述
vodozemac是一个用纯Rust语言实现的Olm和Megolm的开源实现。vodozemac版本低于0.7.0的实例在使用非恒定时间base64实现来导入Megolm组会话的密钥材料和`PkDecryption` Ed25519秘密密钥时存在漏洞。这一缺陷可能会让攻击者通过侧信道攻击推断出一些关于秘密密钥材料的的信息。使用非恒定时间的base64实现可能会让攻击者观察到编码和解码秘密密钥材料时的时序变化。这可能会揭示底层秘密密钥材料的信息。由于利用该漏洞需要访问高精度的时间测量值,并且需要反复访问base64编码或解码过程,因此该漏洞的影响被认为较小。此外,根据参考论文的评估,泄漏量是有界限且较低的。该漏洞已在提交号为734b6c6948d4b2bdee3dd8b4efa591d93a61d272的补丁中修复,并已包含在发布版本0.7.0中。建议用户进行升级。目前没有已知的此漏洞的解决方法。
解决建议
"将组件 vodozemac 升级至 0.7.0 及以上版本"
参考链接
https://arxiv.org/abs/2108.04600
https://github.com/matrix-org/vodozemac/commit/734b6c6948d4b2bdee3dd8b4efa591...
https://github.com/matrix-org/vodozemac/security/advisories/GHSA-j8cm-g7r6-hfpq
CVSS3评分 2.9
  • 攻击路径 本地
  • 攻击复杂度 高
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 低
  • 完整性 无
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-40639利用情况 暂无补丁情况 N/A披露时间 2024-07-18漏洞描述Gotenberg 提供了一个友好的开发者
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-40639利用情况 暂无补丁情况 N/A披露时间 2024-07-18漏洞描述Gotenberg 提供了一个友好的开发者
评论:0   参与:  0