PT-2022-19438 · Totp-Rs · Totp-Rs
Constantoine
·
Publicado
2022-05-09
·
Atualizado
2022-06-07
·
CVE-2022-29185
CVSS v3.1
4.2
Média
| Vetor | AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do totp-rs anteriores à 1.1.0
Descrição
O problema diz respeito a uma biblioteca Rust usada para criar tokens de autenticação 2FA baseados em senhas de uso único baseadas em tempo (TOTP). Antes da versão 1.1.0, a comparação de tokens não era realizada em tempo constante, o que poderia, teoricamente, permitir que um invasor adivinhasse o valor de um token TOTP e o reutilizasse dentro do mesmo intervalo de tempo, desde que já conhecesse a senha. A biblioteca agora utiliza comparação em tempo constante a partir da versão 1.1.0.
Recomendações
Para versões anteriores à 1.1.0, atualize para a versão 1.1.0 ou posterior para garantir que a comparação de tokens seja realizada em tempo constante, mitigando o risco de adivinhação e reutilização de tokens. Como solução temporária, considere restringir o acesso a operações confidenciais que dependem de tokens TOTP até que a atualização possa ser aplicada.
Exploit
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Totp-Rs