CRITICAL🇬🇧 English

CVE-2024-31510

Eskalacja uprawnień w Open Quantum Safe liboqs przez błąd podpisu kryptograficznego

CVSS 9.8v3.1pub. 2024-05-24upd. 2025-08-20

Podatność w bibliotece Open Quantum Safe liboqs v.10.0 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez manipulację parametrem crypto_sign_signature w komponencie ML-DSA. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko, gdyż atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

An issue in Open Quantum Safe liboqs v.10.0 allows a remote attacker to escalate privileges via the crypto_sign_signature parameter in the /pqcrystals-dilithium-standard_ml-dsa-44-ipd_avx2/sign.c component.

🤖 Analiza AI
Jak działa

Podatność dotyczy komponentu pqcrystals-dilithium-standard_ml-dsa-44-ipd_avx2/sign.c odpowiedzialnego za generowanie podpisów cyfrowych zgodnych ze standardem ML-DSA (CRYSTALS-Dilithium). Atakujący może manipulować parametrem crypto_sign_signature, co — zgodnie z powiązanymi CWE — wskazuje na zastosowanie słabego lub podatnego na ataki algorytmu kryptograficznego (CWE-327) oraz niewystarczającą weryfikację podpisu (CWE-1319). Referencje wskazują na technikę ataku polegającą na wstrzykiwaniu błędów (fault injection) w implementacji ML-DSA, co pozwala obejść mechanizmy weryfikacji podpisu.

Skutki

Skuteczny atak umożliwia zdalnemu atakującemu eskalację uprawnień, co może prowadzić do pełnego naruszenia poufności, integralności i dostępności chronionych zasobów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu (https://github.com/open-quantum-safe/liboqs) w celu uzyskania informacji o dostępnych aktualizacjach oraz weryfikację, czy używana wersja biblioteki liboqs została zaktualizowana do wersji eliminującej opisaną podatność.

Kogo dotyczy

Open Quantum Safe liboqs w wersji 10.0

Uwagi

Referencje wskazują na publiczne materiały badacza liang-junkai dotyczące techniki fault injection w implementacji ML-DSA (CRYSTALS-Dilithium), dostępne w serwisie GitHub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Openquantumsafe Liboqs

    APP
    Openquantumsafe
    0.10.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2024-54137HIGH7.4ten sam produkt

liboqs is a C-language cryptographic library that provides implementations of post-quantum cryptography algori...

CVE-2026-44518MEDIUM5.3ten sam produkt

liboqs is a C-language cryptographic library that provides implementations of post-quantum cryptography algori...

CVE-2026-46344MEDIUM5.3ten sam produkt

liboqs is a C-language cryptographic library that provides implementations of post-quantum cryptography algori...

CVE-2025-52473MEDIUM5.9ten sam produkt

liboqs is a C-language cryptographic library that provides implementations of post-quantum cryptography algori...

CVE-2024-36405MEDIUM5.9ten sam produkt

liboqs is a C-language cryptographic library that provides implementations of post-quantum cryptography algori...

CVE-2024-31510 — Eskalacja uprawnień w Open Quantum Safe liboqs przez błąd podpisu kryptograficznego — CRITICAL 9.8 | CVEbaza.pl