Vulnerabilidad en Matrix Rust SDK, (CVE-2024-34353)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
14/05/2024
Última modificación:
14/05/2024
Descripción
La caja Matrix-sdk-crypto, parte del proyecto Matrix Rust SDK, es una implementación de una máquina de estado de cifrado de extremo a extremo de Matrix en Rust. En Matrix, la "copia de seguridad de claves" del lado del servidor almacena copias cifradas de las claves de mensajes de Matrix. Esto facilita el intercambio de claves entre los dispositivos de un usuario y proporciona una copia redundante en caso de que se pierdan todos los dispositivos. La copia de seguridad de claves utiliza criptografía asimétrica, y a cada copia de seguridad de claves del lado del servidor se le asigna un par de claves pública-privada único. Debido a un error lógico introducido en el commit 71136e44c03c79f80d6d1a2446673bc4d53a2067, la versión 0.7.0 de Matrix-sdk-crypto a veces registrará la parte privada del par de claves de respaldo en los registros de depuración de Rust (usando la caja de "rastreo"). Este problema se resolvió en la versión 0.7.1 de Matrix-sdk-crypto. No hay workarounds conocidos disponibles.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://crates.io/crates/matrix-sdk-crypto/0.7.1
- https://github.com/matrix-org/matrix-rust-sdk/commit/71136e44c03c79f80d6d1a2446673bc4d53a2067
- https://github.com/matrix-org/matrix-rust-sdk/commit/fa10bbb5dd0f9120a51aa1854cec752e25790bb0
- https://github.com/matrix-org/matrix-rust-sdk/releases/tag/matrix-sdk-crypto-0.7.1
- https://github.com/matrix-org/matrix-rust-sdk/security/advisories/GHSA-9ggc-845v-gcgv