CVE

Vulnerabilidad en aes-gcm (CVE-2023-42811)

Severidad:
MEDIA
Type:
No Disponible / Otro tipo
Fecha de publicación:
22/09/2023
Última modificación:
16/02/2024

Descripción

aes-gcm es una implementación Rust pura de AES-GCM. A partir de la versión 0.10.0 y antes de la versión 0.10.3, en la implementación AES GCM de decrypt_in_place_detached, el texto cifrado descifrado (es decir, el texto plano correcto) se expone incluso si falla la verificación de la etiqueta. Si un programa que utiliza las API `decrypt_in_place*` de la caja `aes-gcm` accede al búfer después de un error de descifrado, contendrá un descifrado de una entrada no autenticada. Dependiendo de la naturaleza específica del programa, esto puede permitir Chosen Ciphertext Attacks (CCA), que pueden provocar una rotura catastrófica del cifrado, incluida la recuperación completa del texto plano. La versión 0.10.3 contiene una solución para este problema.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:aes-gcm_project:aes-gcm:*:*:*:*:*:rust:*:* 0.10.0 (incluyendo) 0.10.3 (excluyendo)
cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:*