One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8330058 |
| Date de publication | 2023-04-21 18:15:07 (vue: 2023-04-21 21:08:45) |
| Titre | CVE-2022-47930 |
| Texte | Un problème a été découvert dans IO FINNET TSS-LIB avant 2.0.0.Le paramètre SSID pour définir un ID de session n'est pas utilisé dans l'implémentation MPC, ce qui facilite la relance et l'usurpation des messages.En particulier, la preuve de connaissances Schnorr mise en œuvre dans Sch.go n'utilise pas d'identification de session, de contexte ou de nonce aléatoire dans la génération du défi.Cela pourrait permettre à un utilisateur malveillant ou à une écoute pour rejouer une preuve valide envoyée dans le passé.
An issue was discovered in IO FinNet tss-lib before 2.0.0. The parameter ssid for defining a session id is not used through the MPC implementation, which makes replaying and spoofing of messages easier. In particular, the Schnorr proof of knowledge implemented in sch.go does not utilize a session id, context, or random nonce in the generation of the challenge. This could allow a malicious user or an eavesdropper to replay a valid proof sent in the past. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2022 47930 allow before challenge context could cve defining discovered does easier eavesdropper finnet generation implementation implemented issue knowledge lib makes malicious messages mpc nonce not parameter particular past proof random replay replaying sch schnorr sent session spoofing ssid through tss used user utilize valid which |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.