PT-2024-19822 · Pypi+1 · Ecdsa+1
Alicja Kario
+1
·
Publicado
2024-01-22
·
Atualizado
2025-08-26
·
CVE-2024-23342
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 0.18.0 e anteriores do ecdsa
Descrição
O pacote ecdsa do PyPI, uma implementação em Python puro da ECC (Criptografia de Curvas Elípticas), é afetado por um ataque de temporização Minerva na curva P-256. Esse ataque pode vazar o nonce interno ao usar a função da API
ecdsa.SigningKey.sign digest(), permitindo potencialmente a descoberta da chave privada. O problema afeta assinaturas ECDSA, geração de chaves e operações ECDH, mas não a verificação de assinaturas ECDSA.Recomendações
Para as versões 0.18.0 e anteriores, como solução temporária, considere restringir o uso da função
ecdsa.SigningKey.sign digest() até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Ecdsa