CVE-2024-36405 in liboqs
Zusammenfassung
von VulDB • 26.05.2026
liboqs ist eine kryptografische Bibliothek in der Programmiersprache C, die Implementierungen von Post-Quanten-Kryptographie-Algorithmen bereitstellt. In der Referenzimplementierung des Kyber-Key-Encapsulation-Mechanismus wurde ein Timing-Leak des Kontrollflusses identifiziert, wenn sie mit Clang 15-18 für `-Os`, `-O1` und andere Kompilierungsoptionen kompiliert wird. Ein Proof-of-Concept-Lokalangriff auf die Referenzimplementierung leckt den gesamten ML-KEM 512-Geheimschlüssel in ~10 Minuten unter Verwendung von End-to-End-Decapsulation-Timing-Messungen. Das Problem wurde in Version 0.10.1 behoben. Als möglicher Workaround können einige Compiler-Optionen vektorisierten Code erzeugen, der keine geheimen Informationen leckt, das Verlassen auf diese Compiler-Optionen als Workaround ist jedoch möglicherweise nicht zuverlässig.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.