Plattform
nodejs
Komponente
node-forge
Behoben in
1.3.0
CVE-2022-24772 is a vulnerability in the node-forge package related to RSA PKCS#1 v1.5 signature verification. Specifically, the code doesn't check for trailing garbage bytes, potentially allowing signature forgery when a low public exponent is used. This issue affects node-forge and has been addressed in version 1.3.0.
CVE-2022-24772 betrifft die node-forge-Bibliothek, insbesondere den RSA PKCS#1 v1.5-Signaturverifizierungscode. Die Schwachstelle liegt in der fehlenden Validierung von abschließenden Garbage-Bytes nach dem Decodieren einer ASN.1 DigestInfo-Struktur. Dies ermöglicht einem Angreifer, Padding-Bytes zu entfernen und Garbage-Daten hinzuzufügen, um eine Signatur zu fälschen, wenn ein niedriger öffentlicher Exponent verwendet wird. Das Risiko ist erheblich für Anwendungen, die auf node-forge für die sichere RSA PKCS#1 v1.5-Signaturverifizierung angewiesen sind, da ein Angreifer die Datenintegrität und die Authentizität von Transaktionen gefährden könnte.
Die Ausnutzung dieser Schwachstelle erfordert ein tiefes Verständnis der ASN.1-Struktur und der Funktionsweise von RSA PKCS#1 v1.5-Signaturen. Ein Angreifer müsste eine RSA PKCS#1 v1.5-Signatur abfangen oder generieren, das Padding ändern, um bösartige Daten einzufügen, und die geänderte Signatur dann zur Verifizierung vorlegen. Der Erfolg der Ausnutzung hängt von der spezifischen Implementierung der Signaturverifizierung und dem verwendeten öffentlichen Exponenten ab. Die Komplexität der Ausnutzung mindert nicht die Schwere der Schwachstelle, da ein ausreichend ausgestatteter und kompetenter Angreifer sie nutzen könnte, um betroffene Systeme zu kompromittieren.
Exploit-Status
EPSS
0.16% (37% Perzentil)
CVSS-Vektor
Die Behebung dieser Schwachstelle besteht darin, die node-forge-Bibliothek auf Version 1.3.0 oder höher zu aktualisieren. Diese Version enthält Korrekturen, die abschließende Garbage-Bytes nach dem ASN.1-Decodieren ordnungsgemäß validieren und so das Risiko einer Signaturfälschung mindern. Allen node-forge-Benutzern wird dringend empfohlen, dieses Update so bald wie möglich anzuwenden. Überprüfen Sie außerdem den Code, der node-forge verwendet, um sicherzustellen, dass bewährte Sicherheitspraktiken eingehalten und die Exposition gegenüber potenziellen Angriffen minimiert wird. Das Update sollte für kritische Systeme Priorität haben.
Actualice a la versión 1.3.0 o superior de node-forge para corregir la vulnerabilidad. Esta actualización aborda la verificación incorrecta de la firma criptográfica al decodificar estructuras ASN.1, previniendo la falsificación de firmas en ciertos escenarios.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
ASN.1 (Abstract Syntax Notation One) ist ein Standard für die Definition und Darstellung strukturierter Daten. Es wird häufig in Netzwerkprotokollen und Dateiformaten verwendet.
PKCS#1 v1.5 ist ein Standard für das Format von RSA-Nachrichten, einschließlich Signaturen und Verschlüsselung.
Version 1.3.0 behebt die Schwachstelle, indem sie Garbage-Bytes validiert und so die Fälschung von Signaturen verhindert.
Wenn ein sofortiges Update nicht möglich ist, sollten Sie zusätzliche Maßnahmen zur Abschwächung ergreifen, z. B. die Validierung der Quelle von Signaturen und die Verwendung eines größeren öffentlichen Exponenten.
Es ist wichtig, sich über die neuesten Sicherheitsupdates für node-forge und andere Bibliotheken, die Ihre Anwendung verwendet, auf dem Laufenden zu halten.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.