Vulnerabilidad en vodozemac (CVE-2024-40640)

vodozemac es una implementación de código abierto de Olm y Megolm en Rust puro. Las versiones anteriores a la 0.7.0 de vodozemac utilizan una implementación base64 de tiempo no constante para importar material clave para sesiones de grupo Megolm y claves secretas `PkDecryption` Ed25519. Esta falla podría permitir a un atacante inferir cierta información sobre el material de la clave secreta a través de un ataque de canal lateral. El uso de una implementación de base64 de tiempo no constante podría permitir a un atacante observar variaciones de tiempo en las operaciones de codificación y decodificación del material de clave secreta. Potencialmente, esto podría proporcionar información sobre el material de la clave secreta subyacente. El impacto de esta vulnerabilidad se considera bajo porque para explotar al atacante se requiere tener acceso a mediciones de tiempo de alta precisión, así como acceso repetido a los procesos de codificación o decodificación base64. Además, la cantidad estimada de fuga es limitada y baja según el documento de referencia. Esto se ha parcheado en el commit 734b6c6948d4b2bdee3dd8b4efa591d93a61d272 que se ha incluido en la versión 0.7.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.