CWE-208БазаНеполный
Наблюдаемое расхождение в тайминге
Две отдельные операции в продукте требуют различного времени для выполнения таким образом, что это наблюдаемо субъектом и раскрывает информацию о состоянии продукта, имеющую значение для безопасности, например о том, была ли выполнена та или иная операция успешно.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2023-41313Метод аутентификации в версиях Apache Doris до 2.0.0 был уязвим к атакам по времени.
Рекомендуем пользователям обновиться до версии 2.0.0 + или 1.2.8, которые исправляют эту проблему.
CVE-2021-43298Код, выполняющий сопоставление паролей при использовании HTTP-аутентификации 'Basic', не использует memcmp с постоянным временем и не имеет ограничения скорости. Это означает, что не прошедший проверку подлинности сетевой злоумышленник может перебором взломать HTTP-пароль basic, байт за байтом, записывая время ответа веб-сервера до получения несанкционированного (401) ответа.
CVE-2021-21575Dell BSAFE Micro Edition Suite, версии до 4.5.2, содержат уязвимость Observable Timing Discrepancy.
CVE-2026-23519RustCrypto CMOV обеспечивает условное перемещение CPU intrinsics, которые гарантированы на основных платформах для выполнения в постоянное время и не переписываются в ветви компилятором. До 0.4.4 компилятор thumbv6m-none-eabi (Cortex M0, M0+ и M1) излучает непостоянную временную сборку при использовании cmovnz (портативный вариант). Эта уязвимость зафиксирована в 0.4.4.
CVE-2024-47178basic-auth-connect — это промежуточное программное обеспечение Connect Basic Auth в своем собственном модуле. basic-auth-connect < 1.1.0 использует сравнение равенства, небезопасное по времени, которое может привести к утечке информации о времени. Эта проблема была исправлена в basic-auth-connect 1.1.0.
CVE-2024-42512Уязвимость в OPC UA .NET Standard Stack до версии 1.5.374.158 позволяет несанкционированному атакующему обойти аутентификацию приложения, когда включена устаревшая политика безопасности Basic128Rsa15.
CVE-2025-53940Quiet - альтернатива приложениям для обмена сообщениями, таким как Slack, Discord и Element, которая не требует доверия к центральному серверу или запуска собственного сервера. В версиях 6.1.0-alpha.4 и ниже API Quiet для взаимодействия между клиентом и сервером использовал нестойкую функцию сравнения для проверки токена. Это позволяло потенциальную атаку по времени, когда злоумышленник пытался угадать токен, анализируя различия во времени ответа (неправильные символы быстрее завершались) [1].
Источники:
- [1] https://github.com/TryQuiet/quiet/security/advisories/GHSA-gpw8-w78h-xj67
- [2] https://github.com/TryQuiet/quiet/issues/2820#issue-3021080269
- [3] https://github.com/TryQuiet/quiet/pull/2928
CVE-2026-3337Наблюдаемое расхождение во времени в расшифровке AES-CCM в AWS-LC позволяет неаутентифицированному пользователю потенциально определять достоверность тега аутентификации с помощью анализа времени.
Пострадавшие реализации проходят через EVP CIPHER API: EVP_aes_128_ccm, EVP_aes_192_ccm и EVP_aes_256_ccm.
Клиентам сервисов AWS не нужно принимать меры. Приложения, использующие AWS-LC, должны перейти на AWS-LC версии 1.69.0.
CVE-2026-32935phpseclib - это защищенная коммуникационная библиотека PHP. Проекты с использованием версий с 0.1.1 по 1.0.26, 2,0,0 до 2,0,51 и 3.0.0-3.0.49 уязвимы для атаки на синхронизацию оракула при использовании AES в режиме CBC. Этот выпуск был исправлен в версиях 1.0.27, 2.0.52 и 3.0.50.
CVE-2026-28464Версии OpenClaw до 2026.2.12 используют непостоянное сравнение строк для проверки токена крюка, что позволяет злоумышленникам делать выводы о токенах с помощью измерений синхронизации. Удаленные злоумышленники с сетевым доступом к конечной точке крючков могут использовать боковые каналы синхронизации по нескольким запросам для постепенного определения токена аутентификации.
CVE-2024-31074Наблюдаемое расхождение во времени в некоторых Intel(R) QAT Engine для программного обеспечения OpenSSL до версии v1.6.1 может позволить раскрыть информацию через сетевой доступ.
CVE-2026-47784В memcached до 1.6.42 данные пароля для аутентификации пароля SASL имеет боковой канал синхронизации, потому что memcmp используется sasl_server_userdb_checkpass.
CVE-2026-47783В memcached до 1.6.42 данные имени пользователя для аутентификации базы данных паролей SASL имеют боковой канал синхронизации, потому что цикл выходит, как только действующее имя пользователя находится на сайте sasl_server_userdb_checkpass.
CVE-2026-42602azureauthextension - это расширение Azure Authenticator. С 0.124.0 до 0.150.0 обход аутентификации на стороне сервера в azureauthextension позволяет любой стороне, которая имеет один действительный токен доступа Azure для любой области, которую может отчеканить настроенная личность коллектора, аутентифицировать любому приемнику OpenTelemetry, который использует awth: azure_auth. Метод Authenticate расширения не проверяет входящие токены на предъявителя как JWT. Вместо этого он называет свой собственный сконфигурированный учетный зачет для получения токена доступа и сравнивает токен клиента с результатом с равенством строк — и область применения этого запроса на стороне сервера взята из заголовка хоста, поставляемого клиентом. В результате токен, отчеканенный для любого ресурса Azure, для которого директору службы когда-либо выдавали токен (ARM, Graph, Key Vault, Storage и т. Д.), Аутентифицируется коллекционеру, если злоумышленник выберет соответствующий Хост. Токены можно воспроизвести в течение полного срока службы (обычно несколько часов для токенов управляемой идентификации).
CVE-2026-41588RELATE - это веб-пакет курсов. Перед совершением 2f68e16 существует уязвимость атаки по времени в Course/auth.py — check_sign_in_key(). Эта проблема была исправлена через commit 2f68e16.