gnark 在 Groth16 中对私人见证人的承诺破坏了零知识财产(CVE-2024-45040)

admin
admin
admin
0
文章
0
评论
2024-09-09 02:49:39 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
gnark 在 Groth16 中对私人见证人的承诺破坏了零知识财产(CVE-2024-45040)

CVE编号

CVE-2024-45040

利用情况

暂无

补丁情况

N/A

披露时间

2024-09-06
漏洞描述
gnark是一个快速ZK-SNARK库,提供高级API设计电路。在版本0.11.0之前,Groth16中所实施的私有见证承诺破坏了零知识属性。这一漏洞仅影响带有承诺的Groth16证明。值得注意的是,PLONK证明不受影响。该漏洞会影响证明中的零知识属性——如果见证(秘密或内部)值很小,攻击者可能会枚举所有可能的选择来推断实际值。如果待承诺变量的可能选择很大,或者有很多值被承诺,那么枚举所有有效选择将是计算上不可行的。它不会影响证明的完整性/正确性。该漏洞已在版本0.11.0中修复。修复问题的补丁是在证明时向已承诺值的列表中添加额外的随机值,以掩盖其余已承诺的值。作为解决方法,用户可以手动承诺一个随机值。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/Consensys/gnark/commit/afda68a38acca37becb8ba6d8982d03fee9559a0
https://github.com/Consensys/gnark/pull/1245
https://github.com/Consensys/gnark/security/advisories/GHSA-9xcg-3q8v-7fq6
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0