प्लेटफ़ॉर्म
nodejs
घटक
node-forge
में ठीक किया गया
1.3.0
CVE-2022-24771, node-forge में एक RSA PKCS#1 v1.5 हस्ताक्षर सत्यापन भेद्यता है। इस भेद्यता के कारण, एक दुर्भावनापूर्ण संरचना पैडिंग बाइट्स चुरा सकती है और हस्ताक्षर को जाली बनाने के लिए PKCS#1 एन्कोडेड संदेश के अनचेक किए गए हिस्से का उपयोग कर सकती है। यह भेद्यता node-forge के संस्करण 1.3.0 में ठीक की गई है।
CVE-2022-24771 node-forge लाइब्रेरी को प्रभावित करता है, विशेष रूप से RSA PKCS#1 v1.5 हस्ताक्षर सत्यापन कोड। यह भेद्यता डाइजेस्ट एल्गोरिथ्म संरचना की ढीली जाँच के कारण है। यह एक हमलावर को एक तैयार संरचना बनाने की अनुमति देता है जो पैडिंग बाइट्स को चुराता है और कम सार्वजनिक घातांक का उपयोग करते समय PKCS#1 एन्कोडेड संदेश के एक अप्रमाणित भाग का उपयोग करके हस्ताक्षर को जाली बना सकता है। RSA हस्ताक्षर सत्यापन के लिए node-forge पर निर्भर करने वाले और छोटे सार्वजनिक घातांक का उपयोग करने वाले कॉन्फ़िगरेशन का उपयोग करने वाले अनुप्रयोगों के लिए जोखिम महत्वपूर्ण है।
इस भेद्यता का शोषण करने के लिए एक हमलावर को PKCS#1 हस्ताक्षर संरचनाओं का ज्ञान और node-forge का उपयोग करके सत्यापन के लिए सिस्टम पर दुर्भावनापूर्ण डेटा भेजने की क्षमता की आवश्यकता होती है। सफलता विशिष्ट सिस्टम कॉन्फ़िगरेशन पर निर्भर करती है, जिसमें RSA कुंजियों में उपयोग किया जाने वाला सार्वजनिक घातांक शामिल है। छोटा सार्वजनिक घातांक सफल शोषण की संभावना को बढ़ाता है। हमले की जटिलता सावधानीपूर्वक तैयार की गई हस्ताक्षर संरचना बनाने की आवश्यकता में निहित है ताकि सत्यापनकर्ता को धोखा दिया जा सके।
एक्सप्लॉइट स्थिति
EPSS
0.14% (35% शतमक)
CVSS वेक्टर
इस भेद्यता का समाधान node-forge लाइब्रेरी को संस्करण 1.3.0 या उच्चतर में अपडेट करना है। यह संस्करण डाइजेस्ट एल्गोरिथ्म संरचना के सत्यापन को ठीक करता है, पैडिंग हेरफेर और हस्ताक्षर जालसाजी को रोकता है। इस जोखिम को कम करने के लिए node-forge के नवीनतम स्थिर संस्करण में अपग्रेड करने की पुरजोर सिफारिश की जाती है। इसके अतिरिक्त, node-forge का उपयोग करने वाले कोड की समीक्षा करें ताकि यह सुनिश्चित हो सके कि सुरक्षित सार्वजनिक घातांक का उपयोग किया जा रहा है और कुंजी और हस्ताक्षर प्रबंधन के लिए सर्वोत्तम प्रथाओं का पालन किया जा रहा है।
Actualice a la versión 1.3.0 o superior de node-forge para mitigar la vulnerabilidad. Esta actualización corrige la verificación inadecuada de la firma criptográfica, previniendo la posibilidad de falsificación de firmas bajo ciertas condiciones.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
PKCS#1 v1.5 RSA संदेशों के प्रारूप के लिए एक मानक है। यह परिभाषित करता है कि RSA के साथ हस्ताक्षर या डिक्रिप्ट करने से पहले संदेशों को कैसे एन्कोड और पैड किया जाना चाहिए।
सार्वजनिक घातांक RSA कुंजी का एक महत्वपूर्ण घटक है। छोटा सार्वजनिक घातांक हस्ताक्षर को इस तरह के हमलों के प्रति अधिक संवेदनशील बना सकता है, क्योंकि यह जाली हस्ताक्षर की गणना को सरल करता है।
यदि तत्काल अद्यतन संभव नहीं है, तो बड़े सार्वजनिक घातांक का उपयोग करने और हस्ताक्षर के सख्त सत्यापन जैसे अतिरिक्त शमन उपायों पर विचार करें।
वर्तमान में, इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। हालाँकि, node-forge के किसी भी असुरक्षित उपयोग की पहचान करने के लिए संपूर्ण कोड समीक्षा करने की सिफारिश की जाती है।
KEV: no इंगित करता है कि यह भेद्यता समुदाय के भेद्यता ज्ञान आधार में शामिल नहीं है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।