Vulnerabilidad en Ursa (CVE-2022-31021)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

16/01/2024

Última modificación:

24/01/2024

Descripción

Ursa es una librería criptográfica para usar con blockchains. Una debilidad en la especificación Hyperledger AnonCreds que no se mitiga en las implementaciones Ursa y AnonCreds es que el Emisor no publica una prueba de corrección de clave que demuestre que una clave privada generada es suficiente para cumplir con las garantías de desvinculación de AnonCreds. Las implementaciones Ursa y AnonCreds CL-Signatures siempre generan una clave privada suficiente. En teoría, un emisor malintencionado podría crear una implementación personalizada de CL Signature (derivada de las implementaciones Ursa o AnonCreds CL-Signatures) que utilice claves privadas debilitadas, de modo que los verificadores puedan compartir las presentaciones de los titulares con el emisor, quien podría determinar a qué titular se se emitió la credencial. Esta vulnerabilidad podría afectar a los titulares de credenciales de AnonCreds implementadas utilizando el esquema de firma CL en las implementaciones Ursa y AnonCreds de CL Signatures. El proyecto Ursa ha llegado al estado de fin de vida útil y no se espera ninguna solución.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno