CRITICAL🇬🇧 English

CVE-2024-21669

Hyperledger ACA-Py: pominięcie weryfikacji proof w poświadczeniach JSON-LD

CVSS 9.9v3.1pub. 2024-01-11upd. 2024-11-21

Hyperledger Aries Cloud Agent Python (ACA-Py) nie uwzględniał wyniku weryfikacji pola `document.proof` w końcowej wartości `verified` dla prezentacji poświadczeń W3C w formacie JSON-LD z Linked Data Proofs (LDP-VC). Błąd umożliwia akceptację nieprawidłowo skonstruowanych dowodów tożsamości oraz ich nieuprawnione odtwarzanie przez złośliwych weryfikatorów.

Pokaż oryginał (EN)

Hyperledger Aries Cloud Agent Python (ACA-Py) is a foundation for building decentralized identity applications and services running in non-mobile environments. When verifying W3C Format Verifiable Credentials using JSON-LD with Linked Data Proofs (LDP-VCs), the result of verifying the presentation `document.proof` was not factored into the final `verified` value (`true`/`false`) on the presentation record. The flaw enables holders of W3C Format Verifiable Credentials using JSON-LD with Linked Data Proofs (LDPs) to present incorrectly constructed proofs, and allows malicious verifiers to save and replay a presentation from such holders as their own. This vulnerability has been present since version 0.7.0 and fixed in version 0.10.5.

🤖 Analiza AI
Jak działa

Podczas weryfikacji prezentacji poświadczeń (Verifiable Presentations) w formacie W3C z wykorzystaniem JSON-LD i Linked Data Proofs, system pomijał wynik weryfikacji pola `document.proof` przy wyznaczaniu końcowego statusu `verified`. W efekcie prezentacja z błędnie skonstruowanym lub sfałszowanym proof mogła zostać oznaczona jako prawidłowa (true). Dodatkowo złośliwy weryfikator, który otrzymał taką prezentację, mógł ją zapisać i następnie odtworzyć jako własną wobec innych stron (replay attack). Podatność klasyfikowana jest jako CWE-347 — brak właściwej weryfikacji podpisu kryptograficznego.

Skutki

Atakujący (posiadacz poświadczeń lub złośliwy weryfikator) może ominąć mechanizm weryfikacji tożsamości, podsuwając fałszywe lub nieprawidłowo podpisane dowody, a także podszywać się pod innych użytkowników poprzez ponowne odtworzenie przechwyconych prezentacji.

Mitygacja

Należy zaktualizować ACA-Py do wersji 0.10.5 lub nowszej (w tym 0.11.0), w których problem został naprawiony. Patche dostępne są w repozytorium GitHub projektu Hyperledger Aries Cloud Agent Python.

Kogo dotyczy

Hyperledger Aries Cloud Agent Python (ACA-Py) w wersjach od 0.7.0 do 0.10.4 włącznie, korzystających z weryfikacji poświadczeń W3C w formacie JSON-LD z Linked Data Proofs (LDP-VC).

Uwagi

Podatność obecna od wersji 0.7.0, naprawiona w wersji 0.10.5. Dotyczy wyłącznie scenariuszy weryfikacji poświadczeń W3C w formacie JSON-LD z Linked Data Proofs — poświadczenia w innych formatach nie są objęte tym błędem.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
  • Hyperledger Aries Cloud Agent

    APP
    Hyperledger
    0.11.00.7.0 – 0.10.5 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-46132HIGH7.1ten sam vendor

Hyperledger Fabric is an open source permissioned distributed ledger framework. Combining two molecules to one...

CVE-2022-45196HIGH7.5ten sam vendor

Hyperledger Fabric 2.3 allows attackers to cause a denial of service (orderer crash) by repeatedly sending a c...

CVE-2022-36023HIGH7.0ten sam vendor

Hyperledger Fabric is an enterprise-grade permissioned distributed ledger framework for developing solutions a...

CVE-2022-31121HIGH7.5ten sam vendor

Hyperledger Fabric is a permissioned distributed ledger framework. In affected versions if a consensus client ...

CVE-2018-3756HIGH7.5ten sam vendor

Hyperledger Iroha versions v1.0_beta and v1.0.0_beta-1 are vulnerable to transaction and block signature verif...

CVE-2024-21669 — Hyperledger ACA-Py: pominięcie weryfikacji proof w poświadczeniach JSON-LD — CRITICAL 9.9 | CVEbaza.pl