PT-2022-16039 · Unknown · Tendermint
Hu55A1N1
+2
·
Publicado
2022-12-14
·
Atualizado
2022-12-20
·
CVE-2022-23507
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Tendermint anteriores à 0.28.0
Descrição
O problema diz respeito a um possível ataque por meio da verificação inadequada de assinaturas criptográficas, afetando usuários do tendermint-light-client e pacotes relacionados para verificação de clientes leves. O cliente leve não verifica se os IDs de cadeia dos cabeçalhos confiáveis e não confiáveis correspondem, resultando em um possível vetor de ataque. Isso poderia permitir que alguém enganasse um cliente leve encontrando um cabeçalho de uma cadeia não confiável que satisfaça outras condições de verificação, como ter assinaturas de validadores sobrepostas suficientes. O vetor de ataque é atualmente teórico, sem que exista uma prova de conceito para explorá-lo em redes ativas.
Recomendações
Para versões anteriores à 0.28.0, atualize para a versão 0.28.0 para resolver o problema.
Como solução alternativa temporária, considere restringir o uso do tendermint-light-client e pacotes relacionados até que a atualização seja aplicada.
Evite usar a verificação do cliente leve com cabeçalhos não confiáveis até que o problema seja resolvido.
No momento, não há outras soluções alternativas disponíveis.
Exploit
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tendermint