Informazioni sul CVE-2024-34063
Degraded secret zeroization capabilities in vodozemac
CWE ID: CWE-1188
Base Score (CVSS): N/A
CVE: CVE-2024-34063
Descrizione: Vodozemac è un’implementazione di Olm e Megolm in Rust puro. Versioni 0.5.0 e 0.5.1 di Vodozemac hanno degradato le capacità di zeroizzazione segreta, a causa di modifiche alle dipendenze crittografiche di terze parti (i crate Dalek), che hanno spostato le capacità di zeroizzazione segreta dietro un flag di funzionalità e hanno impostato questa funzionalità a disattivata. Queste capacità di zeroizzazione degradate potrebbero portare alla produzione di più copie di segreti di crittografia e i segreti potrebbero rimanere in memoria più a lungo del necessario. Questo marginalmente aumenta il rischio di esposizione di dati sensibili. Questo problema è stato risolto in versione 0.6.0 e gli utenti sono invitati ad aggiornare. Non ci sono soluzioni note per questa vulnerabilità.
Vettore di attacco CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: None, Confidenzialità: Low, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/matrix-org/vodozemac/security/advisories/GHSA-c3hm-hxwf-g5c6
- https://github.com/matrix-org/vodozemac/commit/297548cad4016ce448c4b5007c54db7ee39489d9
Prodotti interessati
- matrix-org – vodozemac
Relazioni con altri prodotti
Produttore:matrix-org
Prodotto: vodozemac
Anno: 2024
CWE: CWE-1188
CVSS: 0.0