CVE-2024-36405 in liboqs
Riassunto
di VulDB • 18/06/2026
liboqs è una libreria crittografica in linguaggio C che fornisce implementazioni di algoritmi di crittografia post-quantistica. È stato identificato un side-channel basato sui tempi del flusso di controllo (control-flow timing leak) nell'implementazione di riferimento del meccanismo di incapsulamento delle chiavi Kyber quando viene compilata con Clang 15-18 per le opzioni `-Os`, `-O1` e altre opzioni di compilazione. Un attacco proof-of-concept locale sull'implementazione di riferimento fuoriesce l'intera chiave segreta ML-KEM 512 in circa 10 minuti utilizzando misurazioni dei tempi di decapsulamento end-to-end. Il problema è stato risolto nella versione 0.10.1. Come possibile soluzione alternativa, alcune opzioni del compilatore potrebbero generare codice vettorizzato che non fuoriesce informazioni segrete; tuttavia, fare affidamento su queste opzioni del compilatore come workaround potrebbe non essere affidabile.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.