We found cryptography bugs in the elliptic library using Wycheproof
6 months ago
- #Cryptography
- #Security Vulnerabilities
- #Elliptic Curve
- Trail of Bits披露了elliptic JavaScript库中的两个漏洞,该库被3000个项目使用,每周下载量超过1000万次。
- 漏洞包括缺少模约减和长度检查,可能导致签名伪造或验证失败。
- 其中一个漏洞在2024年10月结束的90天披露窗口后仍未修复。
- 密码学测试工具Wycheproof被用于发现这些漏洞。
- 共发现五个漏洞,对应五个CVE编号,其中三个是次要的解析问题,两个更为严重。
- CVE-2024-48949涉及由于缺少边界检查导致的EdDSA签名可塑性,允许签名伪造。
- CVE-2024-48948涉及ECDSA签名验证错误,当哈希值前导为零时会导致有效签名被拒绝。
- 建议持续使用Wycheproof等工具进行测试以维护密码库安全。
- 披露时间线详述了从发现到公开披露的过程,包括与库维护者的互动。