PT-2021-18218 · Jose · Jose
Esarafianou
+1
·
Publicado
2021-04-16
·
Atualizado
2021-04-23
·
CVE-2021-29443
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do jose anteriores à 1.28.1
Versões do jose anteriores à 2.0.5
Versões do jose anteriores à 3.11.4
Descrição:
O problema diz respeito ao algoritmo AES CBC HMAC SHA2, no qual uma diferença de tempo possivelmente observável quando ocorre um erro de preenchimento durante a descriptografia cria um oráculo de preenchimento. Um invasor pode ser capaz de usar esse oráculo para descriptografar dados sem conhecer a chave de descriptografia, emitindo em média 128*b chamadas ao oráculo de preenchimento, onde b é o número de bytes no bloco de texto cifrado.
Recomendações:
Para versões anteriores à 1.28.1, atualize a dependência para ^1.28.1.
Para versões anteriores à 2.0.5, atualize a dependência para ^2.0.5.
Para versões anteriores à 3.11.4, atualize a dependência para ^3.11.4.
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jose