Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-29446

Vulnerabilidad en el algoritmo de descifrado AES_CBC_HMAC_SHA2 (A128CBC-HS256, A192CBC-HS384, A256CBC-HS512) en jose-node-cjs-runtime (CVE-2021-29446)

Tipo: 
No disponible / Otro tipo
Gravedad: 
Media
Fecha publicación : 
16/04/2021
Última modificación: 
22/04/2021
Descripción
jose-node-cjs-runtime es un paquete npm que proporciona una serie de funciones criptográficas. En versiones anteriores a 3.11.4, el descifrado del algoritmo AES_CBC_HMAC_SHA2 (A128CBC-HS256, A192CBC-HS384, A256CBC-HS512) siempre ejecutaba tanto la comprobación de etiquetas HMAC como el descifrado CBC, si se presentaba un fallo "JWEDecryptionFailed" sería lanzado. Pero una posible diferencia observable en el tiempo cuando se produciría un error de padding al descifrar el texto cifrado crea un padding oracle y un adversario podría hacer uso de ese oracle para descifrar datos sin conocer la clave de descifrado emitiendo un promedio de 128*b llamadas al padding oracle (donde b es el número de bytes en el bloque de texto cifrado). Se lanzó un parche que garantiza que la etiqueta HMAC es comprobada antes de llevar a cabo el descifrado CBC. Las versiones corregidas son "superiores o iguales a 3.11.4". Los usuarios deben actualizar a "^3.11.4"
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: No hay impacto en la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:jose_project:jose:*:*:*:*:*:node.js:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos