CVE-2024-36405 in liboqsinfo

Zusammenfassung

von VulDB • 26.05.2026

liboqs ist eine kryptografische Bibliothek in der Programmiersprache C, die Implementierungen von Post-Quanten-Kryptographie-Algorithmen bereitstellt. In der Referenzimplementierung des Kyber-Key-Encapsulation-Mechanismus wurde ein Timing-Leak des Kontrollflusses identifiziert, wenn sie mit Clang 15-18 für `-Os`, `-O1` und andere Kompilierungsoptionen kompiliert wird. Ein Proof-of-Concept-Lokalangriff auf die Referenzimplementierung leckt den gesamten ML-KEM 512-Geheimschlüssel in ~10 Minuten unter Verwendung von End-to-End-Decapsulation-Timing-Messungen. Das Problem wurde in Version 0.10.1 behoben. Als möglicher Workaround können einige Compiler-Optionen vektorisierten Code erzeugen, der keine geheimen Informationen leckt, das Verlassen auf diese Compiler-Optionen als Workaround ist jedoch möglicherweise nicht zuverlässig.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

27.05.2024

Veröffentlichung

10.06.2024

Moderieren

akzeptiert

Eintrag

VDB-267655

CPE

bereit

EPSS

0.00515

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!