Vulnerabilidad en OpenIDC/cjose (CVE-2023-37464)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-327
Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
14/07/2023
Última modificación:
15/09/2023
Descripción
OpenIDC/cjose es una biblioteca C que implementa Javascript Object Signing and Encryption (JOSE). La rutina de descifrado AES GCM utiliza incorrectamente la longitud de la etiqueta de la etiqueta de autenticación real proporcionada en el JWE. La especificación dice que se debe aplicar una longitud fija de 16 octetos. Por lo tanto, este error permite a un atacante proporcionar una etiqueta de autenticación truncada y modificar el JWE en consecuencia. Los usuarios deben actualizar a una versión >= 0.6.2.2. Los usuarios que no puedan actualizar deben evitar el uso del cifrado AES GCM y reemplazarlo con otro algoritmo de cifrado (por ejemplo, AES CBC).
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:cjose:*:*:*:*:*:*:*:* | 0.6.2.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://datatracker.ietf.org/doc/html/rfc7518#section-4.7
- https://github.com/OpenIDC/cjose/commit/7325e9a5e71e2fc0e350487ecac7d84acdf0ed5e
- https://github.com/OpenIDC/cjose/releases/tag/v0.6.2.2
- https://github.com/OpenIDC/cjose/security/advisories/GHSA-3rhg-3gf2-6xgj
- https://lists.debian.org/debian-lts-announce/2023/08/msg00002.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DFWAPMYYVBO2U65HPYDTBEKNSXG4TP5C/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LCQJXKDPCWCXB2V4JMQ3UWYJ4UIBPUW6/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PTZHOVGY7AHGNMEY245HK4Q36AMA53AL/
- https://www.debian.org/security/2023/dsa-5472