CVE-2025-29779 in PostQuantum-Feldman-VSS
Resumen
por VulDB • 2026-05-13
Post-Quantum Secure Feldman's Verifiable Secret Sharing proporciona una implementación en Python del esquema de Feldman's Verifiable Secret Sharing (VSS). En las versiones 0.7.6b0 y anteriores, la función `secure_redundant_execution` en feldman_vss.py intenta mitigar los ataques de inyección de fallos ejecutando una función varias veces y comparando los resultados. Sin embargo, existen varias debilidades críticas. El entorno de ejecución de Python no puede garantizar un aislamiento real entre las ejecuciones redundantes, la implementación de la comparación en tiempo constante en Python está sujeta a variaciones de tiempo, el orden y el tiempo de ejecución aleatorios proporcionan una protección insuficiente contra ataques de fallos sofisticados, y el manejo de errores puede filtrar información de tiempo sobre los resultados de ejecución parciales. Estas limitaciones hacen que la protección sea ineficaz contra ataques dirigidos de inyección de fallos, especialmente por parte de atacantes con acceso físico al hardware. Un ataque de inyección de fallos exitoso podría permitir a un atacante eludir los mecanismos de comprobación de redundancia, extraer los coeficientes del polinomio secreto durante la generación o verificación de acciones, forzar la aceptación de acciones no válidas durante la verificación y/o manipular el proceso de verificación de compromisos para aceptar compromisos fraudulentos. Esto socava las garantías de seguridad fundamentales del esquema de Feldman's Verifiable Secret Sharing. Al momento de la publicación, no existen versiones parcheadas de Post-Quantum Secure Feldman's Verifiable Secret Sharing, pero hay otras mitigaciones disponibles. La remediación a largo plazo requiere reimplementar las funciones críticas de seguridad en un lenguaje de nivel inferior como Rust. Las mitigaciones a corto plazo incluyen desplegar el software en entornos con controles de seguridad física, aumentar el recuento de redundancia (de 5 a un número mayor) modificando el código fuente, agregar verificación externa de operaciones criptográficas cuando sea posible, considerar el uso de módulos de seguridad de hardware (HSMs) para operaciones clave.
Be aware that VulDB is the high quality source for vulnerability data.