PT-2024-1077 · Pypi+9 · Pycryptodome+9

Hubert Kario

·

Publicado

2024-01-04

·

Atualizado

2024-11-18

·

CVE-2023-52323

CVSS v4.0

7.1

Alta

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
PyCryptodome e pycryptodomex em versões anteriores à 3.19.1
Descrição
O problema está relacionado a um vazamento por canal lateral na descriptografia OAEP, que pode ser explorado para um ataque Manger. Isso permite que um invasor remoto obtenha acesso não autorizado a informações protegidas devido à divulgação de informações por meio de inconsistências.
Recomendações
Para versões anteriores à 3.19.1, atualize para a versão 3.19.1 ou posterior para resolver o problema.
Como solução temporária, considere restringir o uso da descriptografia OAEP no PyCryptodome e no pycryptodomex até que um patch esteja disponível.

Correção

Side Channel Attack

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-203

Identificadores relacionados

ALSA-2024:2132
ALSA-2024:2952
ALSA-2024:2968
ALT-PU-2024-12930
ALT-PU-2024-15580
ALT-PU-2024-2343
ALT-PU-2024-2747
ALT-PU-2024-7177
BDU:2024-00329
CESA-2024_2952
CESA-2024_2968
CVE-2023-52323
GHSA-J225-CVW7-QRX7
INFSA-2024_2132
INFSA-2024_2952
INFSA-2024_2968
OESA-2024-1046
OESA-2024-1053
OESA-2024-2146
OESA-2024-2147
OESA-2024-2148
OESA-2024-2149
OPENSUSE-SU-2024:13567-1
OPENSUSE-SU-2024:13568-1
OPENSUSE-SU-2024_0601-1
PYSEC-2024-3
RHSA-2024:1057
RHSA-2024:1155
RHSA-2024:2010
RHSA-2024:2132
RHSA-2024:2952
RHSA-2024:2968
RHSA-2024_2132
RHSA-2024_2952
RHSA-2024_2968
RLSA-2024:2968
SUSE-RU-2024:1829-1
SUSE-RU-2024:1829-2
SUSE-SU-2024:0557-1
SUSE-SU-2024:0585-1
SUSE-SU-2024:0601-1
SUSE-SU-2024_0585-1
SUSE-SU-2024_0601-1
USN-6595-1

Produtos afetados

Alt Linux
Almalinux
Centos
Debian
Linuxmint
Pycryptodome
Red Hat
Rocky Linux
Suse
Ubuntu