प्लेटफ़ॉर्म
nodejs
घटक
node-forge
में ठीक किया गया
1.3.0
CVE-2022-24772, node-forge में एक RSA PKCS#1 v1.5 हस्ताक्षर सत्यापन भेद्यता है। यह भेद्यता हमलावरों को कम सार्वजनिक घातांक का उपयोग करके हस्ताक्षर को जाली करने की अनुमति दे सकती है। यह समस्या node-forge के संस्करण 1.3.0 में ठीक कर दी गई है।
CVE-2022-24772 node-forge लाइब्रेरी को प्रभावित करता है, विशेष रूप से इसके RSA PKCS#1 v1.5 हस्ताक्षर सत्यापन कोड को। यह भेद्यता ASN.1 DigestInfo संरचना को डिकोड करने के बाद ट्रेलिंग गारबेज बाइट्स के सत्यापन की कमी में निहित है। यह एक हमलावर को पैडिंग बाइट्स को हटाने और हस्ताक्षर को जाली करने के लिए गारबेज डेटा जोड़ने की अनुमति देता है जब एक कम सार्वजनिक घातांक का उपयोग किया जा रहा हो। node-forge पर निर्भर अनुप्रयोगों के लिए जोखिम महत्वपूर्ण है जो RSA PKCS#1 v1.5 हस्ताक्षर सत्यापन के लिए सुरक्षित रूप से उपयोग करते हैं, क्योंकि एक हमलावर डेटा अखंडता और लेनदेन की प्रामाणिकता से समझौता कर सकता है।
इस भेद्यता का शोषण करने के लिए ASN.1 संरचना और RSA PKCS#1 v1.5 हस्ताक्षरों के कामकाज की गहरी समझ की आवश्यकता होती है। एक हमलावर को RSA PKCS#1 v1.5 हस्ताक्षर को रोकना या उत्पन्न करना होगा, दुर्भावनापूर्ण डेटा को शामिल करने के लिए पैडिंग को संशोधित करना होगा, और फिर सत्यापन के लिए संशोधित हस्ताक्षर प्रस्तुत करना होगा। शोषण की सफलता विशिष्ट हस्ताक्षर सत्यापन कार्यान्वयन और उपयोग किए गए सार्वजनिक घातांक पर निर्भर करती है। शोषण की जटिलता भेद्यता की गंभीरता को कम नहीं करती है, क्योंकि पर्याप्त संसाधनों और कौशल वाला हमलावर इसका उपयोग प्रभावित प्रणालियों से समझौता करने के लिए कर सकता है।
एक्सप्लॉइट स्थिति
EPSS
0.16% (37% शतमक)
CVSS वेक्टर
इस भेद्यता के लिए समाधान node-forge लाइब्रेरी को संस्करण 1.3.0 या उच्चतर में अपडेट करना है। इस संस्करण में सुधार शामिल हैं जो ASN.1 डिकोडिंग के बाद गारबेज बाइट्स को ठीक से मान्य करते हैं, जिससे हस्ताक्षर जालसाजी का जोखिम कम हो जाता है। node-forge के सभी उपयोगकर्ताओं को जल्द से जल्द इस अपडेट को लागू करने की पुरजोर सलाह दी जाती है। इसके अतिरिक्त, node-forge का उपयोग करने वाले कोड की समीक्षा करें ताकि यह सुनिश्चित किया जा सके कि सर्वोत्तम सुरक्षा प्रथाओं का पालन किया जा रहा है और संभावित हमलों के संपर्क को कम किया जा रहा है। महत्वपूर्ण प्रणालियों के लिए अपडेट को प्राथमिकता दी जानी चाहिए।
Actualice a la versión 1.3.0 o superior de node-forge para corregir la vulnerabilidad. Esta actualización aborda la verificación incorrecta de la firma criptográfica al decodificar estructuras ASN.1, previniendo la falsificación de firmas en ciertos escenarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
ASN.1 (Abstract Syntax Notation One) संरचित डेटा को परिभाषित और प्रस्तुत करने के लिए एक मानक है। यह नेटवर्क प्रोटोकॉल और फ़ाइल स्वरूपों में व्यापक रूप से उपयोग किया जाता है।
PKCS#1 v1.5 हस्ताक्षर और एन्क्रिप्शन सहित RSA संदेशों के प्रारूप के लिए एक मानक है।
संस्करण 1.3.0 गारबेज बाइट्स को मान्य करके भेद्यता को ठीक करता है, जिससे हस्ताक्षर जालसाजी को रोका जा सकता है।
यदि तत्काल अपग्रेड संभव नहीं है, तो हस्ताक्षर के स्रोत को मान्य करना और एक बड़े सार्वजनिक घातांक का उपयोग करना जैसे अतिरिक्त शमन उपायों पर विचार करें।
अपने एप्लिकेशन द्वारा उपयोग किए जाने वाले node-forge और अन्य पुस्तकालयों के नवीनतम सुरक्षा अपडेट के बारे में सूचित रहना महत्वपूर्ण है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।