W środowisku uruchomieniowym Deno przed wersją 2.6.0 moduł node:crypto nie finalizuje poprawnie obiektu szyfru. Podatność umożliwia atakującemu przeprowadzenie nieograniczonej liczby operacji szyfrowania, co może prowadzić do ujawnienia sekretów po stronie serwera.
▸ Pokaż oryginał (EN)
Deno is a JavaScript, TypeScript, and WebAssembly runtime. Before 2.6.0, node:crypto doesn't finalize cipher. The vulnerability allows an attacker to have infinite encryptions. This can lead to naive attempts at brute forcing, as well as more refined attacks with the goal to learn the server secrets. This vulnerability is fixed in 2.6.0.
Błąd sklasyfikowany jako CWE-325 (Missing Required Cryptographic Step) polega na tym, że moduł node:crypto w Deno nie wykonuje wymaganego kroku finalizacji szyfru (cipher finalization). Brak finalizacji oznacza, że stan wewnętrzny szyfru nie jest prawidłowo resetowany ani kończony po operacji szyfrowania. Atakujący może to wykorzystać do przeprowadzenia nieograniczonej liczby operacji szyfrowania w ramach tej samej sesji, co ułatwia zarówno naiwne ataki brute-force, jak i bardziej zaawansowane ataki analityczne zmierzające do odtworzenia sekretów serwera.
Atakujący zdalnie i bez uwierzytelnienia może uzyskać dostęp do poufnych informacji, w tym potencjalnie sekretów kryptograficznych przechowywanych po stronie serwera (wysoka poufność kontekstu systemowego — SC:H). Integralność i dostępność zasobów nie są bezpośrednio zagrożone.
Należy zaktualizować Deno do wersji 2.6.0 lub nowszej, w której podatność została naprawiona. Szczegóły patcha dostępne w oficjalnych informacjach o wydaniu: https://github.com/denoland/deno/releases/tag/v2.6.0
Deno w wersjach przed 2.6.0 — wszystkie aplikacje korzystające z modułu node:crypto w tym środowisku.
Podatność zgłoszona i naprawiona przez zespół Deno — szczegóły w security advisory GHSA-5379-f5hf-w38v opublikowanym na GitHub. Brak bieżącego potwierdzenia aktywnego wykorzystania (CISA KEV: NIE).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XDeno
APPDeno< 2.6.0
Powiązane podatności
Deno is a runtime for JavaScript and TypeScript that uses V8 and is built in Rust. Resizable ArrayBuffers pass...
Deno is a runtime for JavaScript and TypeScript. The versions of Deno between release 1.18.0 and 1.20.2 (inclu...
Deno is a runtime for JavaScript and TypeScript that uses V8 and is built in Rust. In Deno versions 1.5.0 to 1...
Deno is a JavaScript, TypeScript, and WebAssembly runtime. From 2.0.0 until 2.7.8, a flaw in Deno's Node.js tl...
Deno is a JavaScript, TypeScript, and WebAssembly runtime. Prior to 2.7.14, Deno's permission system enforces ...