Vulnerabilidad en Tink-cc (CVE-2024-4420)

Gravedad:

Pendiente de análisis

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

21/05/2024

Última modificación:

21/05/2024

Descripción

Existe una vulnerabilidad de denegación de servicio en Tink-cc en versiones anteriores a la 2.1.3. * Un adversario puede bloquear archivos binarios usando crypto::tink::JsonKeysetReader en tink-cc al proporcionar una entrada que no es un objeto JSON codificado, pero que sigue siendo un elemento JSON codificado válido, por ejemplo, un número o una matriz. Esto fallará ya que Tink simplemente asume que cualquier entrada JSON válida contendrá un objeto. * Un adversario puede bloquear archivos binarios usando crypto::tink::JsonKeysetReader en tink-cc al proporcionar una entrada que contiene muchos objetos JSON anidados. Esto puede provocar un desbordamiento de la pila. Recomendamos actualizar a la versión 2.1.3 o superior.

Impacto

Referencias a soluciones, herramientas e información

https://github.com/tink-crypto/tink-cc/issues/4