Vulnerabilidad en Go (CVE-2023-49290)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
05/12/2023
Última modificación:
04/03/2024
Descripción
lestrrat-go/jwx es un módulo Go que implementa varias tecnologías JWx (JWA/JWE/JWK/JWS/JWT, también conocidas como JOSE). Un parámetro p2c establecido demasiado alto en el algoritmo PBES2-* de JWE podría provocar una denegación de servicio. Los algoritmos de gestión de claves JWE basados en PBKDF2 requieren un parámetro de encabezado JOSE llamado p2c (PBES2 Count). Este parámetro dicta el número de iteraciones de PBKDF2 necesarias para derivar una clave de envoltura CEK. Su objetivo principal es ralentizar intencionalmente la función de derivación de claves, haciendo que los ataques de fuerza bruta a contraseñas y de diccionario requieran más recursos. Por lo tanto, si un atacante establece el parámetro p2c en JWE en un número muy grande, puede provocar un gran consumo computacional, lo que resultará en una denegación de servicio. Esta vulnerabilidad se solucionó en el commit `64f2a229b` que se incluyó en las versiones 1.2.27 y 2.0.18. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:lestrrat-go:jwx:*:*:*:*:*:*:*:* | 1.2.27 (excluyendo) | |
| cpe:2.3:a:lestrrat-go:jwx:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.0.18 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página