PT-2020-13166 · Fastecdsa · Fastecdsa
Adelapie
·
Publicado
2020-06-02
·
Atualizado
2025-02-12
·
CVE-2020-12607
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do fastecdsa anteriores à 2.1.2
Descrição
Foi detectada uma falha na implementação do ECDSA ao utilizar a curva NIST P-256. O ponto no infinito é tratado incorretamente, o que significa que, para valores extremos em
k e s^-1, a verificação da assinatura falha mesmo que a assinatura esteja correta. Esse comportamento não é apenas um problema de usabilidade, pois existem modelos de ameaça em que um invasor pode se beneficiar ao adivinhar com sucesso quais usuários terão falha na verificação de assinatura.Recomendações
Para versões anteriores à 2.1.2, atualize para a versão 2.1.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da curva NIST P-256 na implementação do ECDSA até que um patch esteja disponível.
Exploit
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fastecdsa