PT-2021-4058 · Lua+2 · Lua+2

Andre Bianchi

·

Publicado

2021-05-02

·

Atualizado

2024-12-08

·

CVE-2021-32921

CVSS v3.1

5.9

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Prosody anteriores à 0.11.9
Descrição
Uma falha no Prosody permite que um invasor revele potencialmente o conteúdo de cadeias de caracteres secretas por meio de um ataque de temporização. Isso se deve ao uso de um algoritmo de tempo não constante para comparar determinadas cadeias de caracteres secretas quando executado no Lua 5.2 ou versões posteriores. A vulnerabilidade pode ser explorada por um invasor remoto para obter acesso a dados confidenciais.
Recomendações
Para versões anteriores à 0.11.9, atualize para a versão 0.11.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a dados confidenciais até que a atualização possa ser aplicada.

Correção

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-362

Identificadores relacionados

ALT-PU-2021-1808
ALT-PU-2021-2611
ALT-PU-2024-16554
BDU:2021-04586
CVE-2021-32921
DLA-2687-1
DLA-2687-2
DSA-4916-1
DSA-4916-2

Produtos afetados

Alt Linux
Lua
Prosody