One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8403311 |
| Date de publication | 2023-10-31 00:15:09 (vue: 2023-10-31 06:07:39) |
| Titre | CVE-2023-46129 |
| Texte | Nats.io est une technologie de communication distribuée de pub open source de haute performance, conçue pour le cloud, sur site, IoT et Edge Computing.La bibliothèque de manipulation des clés cryptographiques, Nkeys, a récemment acquis un support pour le chiffrement, pas seulement pour la signature / l'authentification.Ceci est utilisé dans Nats-Server 2.10 (SEP 2023) et plus récent pour les appels d'authentification.Dans les versions NKEYS 0.4.0 à 0.4.5, correspondant aux versions du serveur NATS 2.10.0 à 2.10.3, la logique de gestion de cryptage de la bibliothèque de Nkeys \\ a passé par erreur un tableau par valeur dans une fonction interne, où laLa fonction a muté ce tampon pour remplir la clé de chiffrement à utiliser.En conséquence, tout le cryptage était en fait pour une clé All-Elosos.Cela n'affecte que le cryptage uniquement, sans signature.
FIXME: Remplissez l'impact sur la sécurité de l'automne Nats-Server.NKEYS GO Library 0.4.6, correspondant au serveur NATS 2.10.4, a un correctif pour ce problème.Aucune solution de contournement connue n'est disponible.Pour tout traitement des applications AUTH Callououts dans Go, si vous utilisez la bibliothèque NKEYS, mettez à jour la dépendance, recompilez et déploiez-le dans Lockstep.
NATS.io is a high performance open source pub-sub distributed communication technology, built for the cloud, on-premise, IoT, and edge computing. The cryptographic key handling library, nkeys, recently gained support for encryption, not just for signing/authentication. This is used in nats-server 2.10 (Sep 2023) and newer for authentication callouts. In nkeys versions 0.4.0 through 0.4.5, corresponding with NATS server versions 2.10.0 through 2.10.3, the nkeys library\'s `xkeys` encryption handling logic mistakenly passed an array by value into an internal function, where the function mutated that buffer to populate the encryption key to use. As a result, all encryption was actually to an all-zeros key. This affects encryption only, not signing. FIXME: FILL IN IMPACT ON NATS-SERVER AUTH CALLOUT SECURITY. nkeys Go library 0.4.6, corresponding with NATS Server 2.10.4, has a patch for this issue. No known workarounds are available. For any application handling auth callouts in Go, if using the nkeys library, update the dependency, recompile and deploy that in lockstep. |
| Envoyé | Oui |
| Condensat | 2023 46129 `xkeys` actually affects all any application are array auth authentication available buffer built callout callouts cloud communication computing corresponding cryptographic cve dependency deploy distributed edge encryption fill fixme: function gained handling has high impact internal iot issue just key known library lockstep logic mistakenly mutated nats newer nkeys not only open passed patch performance populate premise pub recently recompile result security sep server signing signing/authentication source sub support technology through update use used using value versions where workarounds zeros |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.