PT-2020-20372 · Google · Tink
Peter Esbensen
·
Publicado
2020-10-16
·
Atualizado
2025-06-05
·
CVE-2020-8929
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Tink anteriores à 1.5
Descrição
Um tratamento incorreto de caracteres Unicode inválidos na implementação Java do Tink permite que um invasor altere a parte de identificação de um texto cifrado, resultando na criação de um segundo texto cifrado que pode ser descriptografado para o mesmo texto em claro. Esse problema compromete a integridade do texto cifrado, particularmente ao criptografar com um AEAD determinístico usando uma única chave e dependendo de um texto cifrado único por texto em claro. Não ocorre perda de confidencialidade ou integridade do texto em claro devido a este problema.
Recomendações
Para versões do Tink anteriores à 1.5, a falha foi corrigida em uma solicitação de pull específica. Como solução alternativa, considere fazer o backport da solicitação de pull com a correção até que uma versão mais recente esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tink