PT-2024-25810 · Unknown+1 · Matrix-Sdk-Crypto+1
Kasak
·
Publicado
2024-05-13
·
Atualizado
2024-05-14
·
CVE-2024-34353
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
matrix-sdk-crypto versão 0.7.0
versões do matrix-sdk-crypto anteriores à 0.7.1
Descrição
O problema diz respeito a um erro de lógica no crate matrix-sdk-crypto, que faz parte do projeto Matrix Rust SDK. Esse bug faz com que a parte privada do par de chaves de backup seja registrada nos logs de depuração do Rust usando o crate
tracing. O backup de chaves é usado para armazenar cópias criptografadas das chaves de mensagens do Matrix, facilitando o compartilhamento de chaves entre dispositivos e fornecendo uma cópia redundante caso os dispositivos sejam perdidos. Ele utiliza criptografia assimétrica com pares exclusivos de chaves públicas e privadas para cada backup de chaves do lado do servidor.Recomendações
Para a versão 0.7.0 do matrix-sdk-crypto, atualize para a versão 0.7.1 para resolver o problema.
Como solução temporária, considere desativar o recurso de registro no crate
tracing até que a atualização para a versão 0.7.1 seja aplicada.Exploit
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Matrix-Sdk-Crypto
Tracing