CVE-2024-23680

**Nome do software vulnerável e versões afetadas:

AWS Encryption SDK para Java, versões 2.0.0 a 2.2.0

AWS Encryption SDK para Java, versões anteriores à 1.9.0

Descrição:

O problema diz respeito à validação incorreta de algumas assinaturas ECDSA inválidas. Isso afeta a integridade das assinaturas, que fornecem defesa em profundidade, embora não haja impacto na integridade do texto simples descriptografado. A vulnerabilidade está relacionada ao modo de streaming do Encryption SDK, no qual os chamadores podem transmitir o texto simples de mensagens assinadas antes que a assinatura ECDSA seja validada. Além disso, o SDK utiliza criptografia AES-GCM, e todo o texto simples é verificado antes de ser liberado para um chamador. No entanto, alguns chamadores podem confiar na assinatura ECDSA para fins de não repúdio.

Recomendações:

Para o AWS Encryption SDK para Java versões 2.0.0 a 2.2.0, atualize para a versão 2.2 ou posterior para resolver o problema.

Para o AWS Encryption SDK para Java versões anteriores à 1.9.0, atualize para a versão 1.9 ou posterior para resolver o problema.

Como solução alternativa temporária, considere garantir que o código do cliente leia até o final do fluxo antes de usar o texto simples liberado.

Considere usar a nova API para streaming e recorrer à API de descriptografia sem streaming para mensagens assinadas, a fim de evitar o uso de qualquer texto simples proveniente de dados assinados antes que a assinatura seja validada.

Para usuários que processam mensagens ESDK de fontes não confiáveis, use o novo parâmetro de chaves de dados criptografados máximo para limitar o número de chamadas da API AWS KMS Decrypt que o ES