CVE-2021-43398

Crypto++ (também conhecido como Cryptopp) versões 8.6.0 e anteriores

O problema diz respeito a um vazamento de tempo na função MakePublicKey(), onde existe uma correlação entre o tempo de execução e o comprimento da chave privada. Isso poderia permitir que invasores realizassem ataques de temporização e divulgassem as informações sobre o comprimento da chave privada. No entanto, observa-se que este relatório é contestado pelo fornecedor e por vários terceiros, que afirmam que as diferenças no tempo de execução são intencionais e fazem parte de um equilíbrio entre segurança e desempenho, sendo que as informações vazadas têm valor mínimo.

Para as versões 8.6.0 e anteriores do Crypto++ (também conhecido como Cryptopp), considere atualizar para uma versão em que essa vulnerabilidade tenha sido corrigida, embora a controvérsia sugira que o impacto possa ser mínimo. Como solução temporária, os usuários podem precisar avaliar as compensações entre a força da chave e o desempenho, possivelmente escolhendo chaves mais fortes em detrimento do desempenho. No entanto, sem uma resolução clara ou patch disponível, a principal recomendação seria aguardar orientações adicionais do fornecedor ou da comunidade de segurança. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.