Podatność w bibliotece Open Quantum Safe liboqs v.10.0 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez manipulację parametrem crypto_sign_signature w komponencie ML-DSA. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko, gdyż atak nie wymaga uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
An issue in Open Quantum Safe liboqs v.10.0 allows a remote attacker to escalate privileges via the crypto_sign_signature parameter in the /pqcrystals-dilithium-standard_ml-dsa-44-ipd_avx2/sign.c component.
Podatność dotyczy komponentu pqcrystals-dilithium-standard_ml-dsa-44-ipd_avx2/sign.c odpowiedzialnego za generowanie podpisów cyfrowych zgodnych ze standardem ML-DSA (CRYSTALS-Dilithium). Atakujący może manipulować parametrem crypto_sign_signature, co — zgodnie z powiązanymi CWE — wskazuje na zastosowanie słabego lub podatnego na ataki algorytmu kryptograficznego (CWE-327) oraz niewystarczającą weryfikację podpisu (CWE-1319). Referencje wskazują na technikę ataku polegającą na wstrzykiwaniu błędów (fault injection) w implementacji ML-DSA, co pozwala obejść mechanizmy weryfikacji podpisu.
Skuteczny atak umożliwia zdalnemu atakującemu eskalację uprawnień, co może prowadzić do pełnego naruszenia poufności, integralności i dostępności chronionych zasobów.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu (https://github.com/open-quantum-safe/liboqs) w celu uzyskania informacji o dostępnych aktualizacjach oraz weryfikację, czy używana wersja biblioteki liboqs została zaktualizowana do wersji eliminującej opisaną podatność.
Open Quantum Safe liboqs w wersji 10.0
Referencje wskazują na publiczne materiały badacza liang-junkai dotyczące techniki fault injection w implementacji ML-DSA (CRYSTALS-Dilithium), dostępne w serwisie GitHub.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOpenquantumsafe Liboqs
APPOpenquantumsafe0.10.0
Powiązane podatności
liboqs is a C-language cryptographic library that provides implementations of post-quantum cryptography algori...
liboqs is a C-language cryptographic library that provides implementations of post-quantum cryptography algori...
liboqs is a C-language cryptographic library that provides implementations of post-quantum cryptography algori...
liboqs is a C-language cryptographic library that provides implementations of post-quantum cryptography algori...
liboqs is a C-language cryptographic library that provides implementations of post-quantum cryptography algori...