CVE-2024-36405 in liboqsinformazioni

Riassunto

di VulDB • 18/06/2026

liboqs è una libreria crittografica in linguaggio C che fornisce implementazioni di algoritmi di crittografia post-quantistica. È stato identificato un side-channel basato sui tempi del flusso di controllo (control-flow timing leak) nell'implementazione di riferimento del meccanismo di incapsulamento delle chiavi Kyber quando viene compilata con Clang 15-18 per le opzioni `-Os`, `-O1` e altre opzioni di compilazione. Un attacco proof-of-concept locale sull'implementazione di riferimento fuoriesce l'intera chiave segreta ML-KEM 512 in circa 10 minuti utilizzando misurazioni dei tempi di decapsulamento end-to-end. Il problema è stato risolto nella versione 0.10.1. Come possibile soluzione alternativa, alcune opzioni del compilatore potrebbero generare codice vettorizzato che non fuoriesce informazioni segrete; tuttavia, fare affidamento su queste opzioni del compilatore come workaround potrebbe non essere affidabile.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

27/05/2024

Divulgazione

10/06/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00515

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!