One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8400954 |
| Date de publication | 2023-10-26 15:15:09 (vue: 2023-10-26 17:08:39) |
| Titre | CVE-2023-46234 |
| Texte | Browserify-Sign est un package pour dupliquer la fonctionnalité des fonctions de clé publique Crypto de Node \\, une grande partie de ceci est basée sur le travail de Fedor indutny \\ sur indutny / tls.js.Un problème de vérification de la limite supérieure dans la fonction «dsaverify» permet à un attaquant de construire des signatures qui peuvent être vérifiées avec succès par n'importe quelle clé publique, conduisant ainsi à une attaque de contrefaçon de signature.Tous les endroits de ce projet impliquant la vérification de la DSA des signatures d'entrée de l'utilisateur seront affectés par cette vulnérabilité.Ce problème a été corrigé dans la version 4.2.2.
browserify-sign is a package to duplicate the functionality of node\'s crypto public key functions, much of this is based on Fedor Indutny\'s work on indutny/tls.js. An upper bound check issue in `dsaVerify` function allows an attacker to construct signatures that can be successfully verified by any public key, thus leading to a signature forgery attack. All places in this project that involve DSA verification of user-input signatures will be affected by this vulnerability. This issue has been patched in version 4.2.2. |
| Envoyé | Oui |
| Condensat | 2023 46234 `dsaverify` affected all allows any attack attacker based been bound browserify can check construct crypto cve dsa duplicate fedor forgery function functionality functions has indutny indutny/tls input involve issue key leading much node package patched places project public sign signature signatures successfully thus upper user verification verified version vulnerability will work |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.