Hyperledger Aries Cloud Agent Python (ACA-Py) nie uwzględniał wyniku weryfikacji pola `document.proof` w końcowej wartości `verified` dla prezentacji poświadczeń W3C w formacie JSON-LD z Linked Data Proofs (LDP-VC). Błąd umożliwia akceptację nieprawidłowo skonstruowanych dowodów tożsamości oraz ich nieuprawnione odtwarzanie przez złośliwych weryfikatorów.
▸ Pokaż oryginał (EN)
Hyperledger Aries Cloud Agent Python (ACA-Py) is a foundation for building decentralized identity applications and services running in non-mobile environments. When verifying W3C Format Verifiable Credentials using JSON-LD with Linked Data Proofs (LDP-VCs), the result of verifying the presentation `document.proof` was not factored into the final `verified` value (`true`/`false`) on the presentation record. The flaw enables holders of W3C Format Verifiable Credentials using JSON-LD with Linked Data Proofs (LDPs) to present incorrectly constructed proofs, and allows malicious verifiers to save and replay a presentation from such holders as their own. This vulnerability has been present since version 0.7.0 and fixed in version 0.10.5.
Podczas weryfikacji prezentacji poświadczeń (Verifiable Presentations) w formacie W3C z wykorzystaniem JSON-LD i Linked Data Proofs, system pomijał wynik weryfikacji pola `document.proof` przy wyznaczaniu końcowego statusu `verified`. W efekcie prezentacja z błędnie skonstruowanym lub sfałszowanym proof mogła zostać oznaczona jako prawidłowa (true). Dodatkowo złośliwy weryfikator, który otrzymał taką prezentację, mógł ją zapisać i następnie odtworzyć jako własną wobec innych stron (replay attack). Podatność klasyfikowana jest jako CWE-347 — brak właściwej weryfikacji podpisu kryptograficznego.
Atakujący (posiadacz poświadczeń lub złośliwy weryfikator) może ominąć mechanizm weryfikacji tożsamości, podsuwając fałszywe lub nieprawidłowo podpisane dowody, a także podszywać się pod innych użytkowników poprzez ponowne odtworzenie przechwyconych prezentacji.
Należy zaktualizować ACA-Py do wersji 0.10.5 lub nowszej (w tym 0.11.0), w których problem został naprawiony. Patche dostępne są w repozytorium GitHub projektu Hyperledger Aries Cloud Agent Python.
Hyperledger Aries Cloud Agent Python (ACA-Py) w wersjach od 0.7.0 do 0.10.4 włącznie, korzystających z weryfikacji poświadczeń W3C w formacie JSON-LD z Linked Data Proofs (LDP-VC).
Podatność obecna od wersji 0.7.0, naprawiona w wersji 0.10.5. Dotyczy wyłącznie scenariuszy weryfikacji poświadczeń W3C w formacie JSON-LD z Linked Data Proofs — poświadczenia w innych formatach nie są objęte tym błędem.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:LHyperledger Aries Cloud Agent
APPHyperledger0.11.00.7.0 – 0.10.5 (bez)
Powiązane podatności
Hyperledger Fabric is an open source permissioned distributed ledger framework. Combining two molecules to one...
Hyperledger Fabric 2.3 allows attackers to cause a denial of service (orderer crash) by repeatedly sending a c...
Hyperledger Fabric is an enterprise-grade permissioned distributed ledger framework for developing solutions a...
Hyperledger Fabric is a permissioned distributed ledger framework. In affected versions if a consensus client ...
Hyperledger Iroha versions v1.0_beta and v1.0.0_beta-1 are vulnerable to transaction and block signature verif...