Vulnerabilidad en NATS.io (CVE-2023-46129)

NATS.io es una tecnología de comunicación distribuida pub-sub de código abierto de alto rendimiento, creada para la nube, local, IoT y computación de borde. La librería de manejo de claves criptográficas, nkeys, recientemente obtuvo soporte para cifrado, no solo para firma/autenticación. Esto se utiliza en nats-server 2.10 (septiembre de 2023) y versiones posteriores para llamadas de autenticación. En las versiones 0.4.0 a 0.4.5 de nkeys, correspondientes a las versiones 2.10.0 a 2.10.3 del servidor NATS, la lógica de manejo de cifrado `xkeys` de la librería nkeys pasó por error una matriz por valor a una función interna, donde la función mutó ese búfer. para completar la clave de cifrado que se utilizará. Como resultado, todo el cifrado se realizó en realidad con una clave de todos ceros. Esto afecta únicamente al cifrado, no a la firma. SOLUCIÓN: COMPLETE EL IMPACTO EN LA SEGURIDAD DE LA LLAMADA DE AUTENCIÓN DEL SERVIDOR NATS. La librería nkeys Go 0.4.6, correspondiente a NATS Server 2.10.4, tiene un parche para este problema. No hay workarounds conocidos disponibles. Para cualquier aplicación que maneje llamadas de autenticación en Go, si usa la librería nkeys, actualice la dependencia, vuelva a compilarla e implementarla al mismo tiempo.