CVE-2024-36405 in liboqs
요약
\~에 의해 VulDB • 2026. 05. 11.
liboqs는 포스트 양자 암호화 알고리즘의 구현을 제공하는 C 언어 기반의 암호화 라이브러리입니다. Kyber 키 캡슐화 메커니즘의 참조 구현에서 Clang 15-18을 사용하여 `-Os`, `-O1` 및 기타 컴파일 옵션으로 컴파일할 때 제어 흐름 타이밍 리크(제어 흐름 타이밍 누출)가 확인되었습니다. 참조 구현에 대한 개념 증명(Proof-of-Concept) 로컬 공격은 엔드투엔드 디캡슐화 타이밍 측정을 사용하여 약 10분 만에 ML-KEM 512의 전체 비밀 키를 누출합니다. 이 문제는 버전 0.10.1에서 수정되었습니다. 가능한 우회 조치로, 일부 컴파일러 옵션은 비밀 정보를 누출하지 않는 벡터화된 코드를 생성할 수 있지만, 이러한 컴파일러 옵션을 우회 조치로 의존하는 것은 신뢰할 수 없을 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.