Vulnerabilidad en vodozemac (CVE-2024-34063)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/05/2024
Última modificación:
15/04/2026
Descripción
vodozemac es una implementación de Olm y Megolm en Rust puro. Las versiones 0.5.0 y 0.5.1 de vodozemac han degradado las capacidades de puesta a cero secreta, debido a cambios en las dependencias criptográficas de terceros (las cajas Dalek), que movieron las capacidades de puesta a cero secreta detrás de un indicador de característica y desactivaron esta característica de forma predeterminada. Las capacidades degradadas de puesta a cero podrían dar como resultado la producción de más copias de memoria de secretos de cifrado y los secretos podrían permanecer en la memoria más tiempo del necesario. Esto aumenta marginalmente el riesgo de exposición de datos confidenciales. Este problema se solucionó en la versión 0.6.0 y se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
2.50
Gravedad 3.x
BAJA
Referencias a soluciones, herramientas e información
- https://github.com/matrix-org/vodozemac/commit/297548cad4016ce448c4b5007c54db7ee39489d9
- https://github.com/matrix-org/vodozemac/security/advisories/GHSA-c3hm-hxwf-g5c6
- https://github.com/matrix-org/vodozemac/commit/297548cad4016ce448c4b5007c54db7ee39489d9
- https://github.com/matrix-org/vodozemac/security/advisories/GHSA-c3hm-hxwf-g5c6