RSS Блог "След бит"
Подписаться
Мы обнаружили криптографические ошибки в библиотеке elliptic с помощью Wycheproof
Trail of Bits публично раскрывает две уязвимости в широко используемой JavaScript-библиотеке elliptic. Эти уязвимости, обнаруженные с помощью инструмента тестирования Wycheproof, затрагивают библиотеку, загружаемую миллионы раз в неделю. Одна уязвимость позволяет изменять подписи EdDSA, не проверяя, находится ли компонент подписи в допустимом диапазоне. Это может позволить злоумышленникам подделывать действительные подписи для известных пар сообщений. Вторая уязвимость, CVE-2024-48948, затрагивает проверку подписей ECDSA. Она приводит к тому, что действительные подписи не проходят проверку, если хэш сообщения имеет ведущие нули. Это происходит потому, что библиотека неправильно вычисляет размер хэша после преобразования в объект числа. Этот неверный расчет приводит к неправильному усечению хэша, что препятствует корректной проверке. Одна из этих критических уязвимостей остается неисправленной, несмотря на то, что 90-дневный период раскрытия информации истекает в октябре 2024 года. Trail of Bits подчеркивает важность непрерывного тестирования с помощью таких инструментов, как Wycheproof, для криптографических библиотек. Процесс раскрытия информации включал конфиденциальное уведомление сопровождающих библиотеки через GitHub advisories. Проблема EdDSA была оперативно устранена, в то время как на проблему ECDSA был получен отложенный ответ. Полученные результаты подчеркивают значительные последствия для безопасности проектов, полагающихся на библиотеку elliptic.
