CVE-2024-22192

Ursa (versões afetadas não especificadas)

O esquema de revogação nas implementações de CL-Signatures do Ursa apresenta uma falha que pode afetar as garantias de privacidade definidas pelo modelo de credenciais verificáveis AnonCreds. Um verificador mal-intencionado pode ser capaz de gerar um identificador único para um titular que forneça uma apresentação verificável que inclua uma prova de não revogação. O impacto da falha é que um verificador mal-intencionado pode ser capaz de determinar um identificador único para um titular que apresente uma prova de não revogação.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. No entanto, para mitigar o problema, atualize as bibliotecas/aplicativos de titulares que geram apresentações verificáveis do AnonCreds usando o Ursa Rust Crate para qualquer versão do AnonCreds CL-Signatures Rust Crate. Além disso, atualizar o software verificador para uma implementação corrigida do CL-Signatures, como a baseada no AnonCreds CL-Signatures, pode ajudar a verificar apresentações de titulares criadas tanto com a implementação defeituosa do Ursa CL-Signature quanto com uma implementação corrigida do CL-Signature.