Vulnerabilidad en la clave de identidad secreta y el número de seguridad en Wrongthink (CVE-2021-21387)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-319
Transmisión de información sensible en texto claro
Fecha de publicación:
19/03/2021
Última modificación:
25/03/2021
Descripción
Wrongthink mensajero cifrado punto a punto y de extremo a extremo con PeerJS y Axolotl Ratchet. En wrongthink desde versión 2.0.0 y anteriores a 2.3.0, había un conjunto de vulnerabilidades que causaban una fuerza de cifrado inapropiada. Parte de la clave de identidad secreta fue divulgada por la huella digital usada para la conexión. Además, el número de seguridad fue calculado inapropiadamente. Se calculó usando parte de una de las claves de identidad públicas en lugar de derivarse de ambas claves de identidad públicas. Esto causó problemas en el cálculo de números de seguridad que potencialmente podrían explotarse en el mundo real. Además, hubo un nivel de cifrado inadecuado debido al uso de claves DSA de 1024 bits. Todos estos problemas están corregidos en versión 2.3.0
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wrongthink:wrongthink:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.3.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página