Vulnerabilidad en la curva NIST P-256 en la implementación de ECDSA en fastecdsa (CVE-2020-12607)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

02/06/2020

Última modificación:

12/02/2025

Descripción

Se detectó un problema en fastecdsa versiones anteriores a.1.2. Cuando se usa la curva NIST P-256 en la implementación de ECDSA, el punto en el infinito es manejado inapropiadamente. Esto significa que para un valor extremo en k y s^-1, la verificación de firma presentó un fallo incluso si la firma es correcta. Este comportamiento no es únicamente un problema de usabilidad. Existen algunos modelos de amenazas en los que un atacante puede beneficiarse al adivinar con éxito a usuarios para quienes la verificación de firma fallará.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno