ALTCHA - это программное обеспечение для защиты от капч и бота. Криптографический семантический дефект в библиотеках ALTCHA позволяет броса…

ALTCHA - это программное обеспечение для защиты от капч и бота. Криптографический семантический дефект в библиотеках ALTCHA позволяет бросать вызов сращиванию полезной нагрузки, что может включать атаки воспроизведения. Подпись HMAC не однозначно связывает параметры вызова с nonce, позволяя злоумышленнику переосмыслить действительное доказательство работы с измененным значением истечения срока действия. Это может позволить повторно использовать ранее решенные задачи за пределами предполагаемого срока службы, в зависимости от предположений обработки повторов и развертывания на стороне сервера. Уязвимость в первую очередь влияет на механизмы предотвращения злоупотреблений, такие как ограничение скорости и смягчение последствий. Это не влияет непосредственно на конфиденциальность или целостность данных. Эта проблема была решена путем обеспечения четкого семантического разделения между параметрами вызова и nonce во время вычислений HMAC. Пользователям рекомендуется перейти на исправленные версии, которые включают в себя версию 1.0.0 пакета alcha Golang, версию 1.0.0 altcha Rubygem, версию 1.0.0 пакета altcha pip, версию 1.0.0 пакета altcha Erlang, версию 1.4.1 пакета altcha-lib npm, версию 1.3.1 altcha-org/altchaпакет. В качестве смягчения последствий реализации могут приложить делимиттер до конца значения `salt` до вычисления HMAC (например, `<salt>?expires=<time>&`). Это предотвращает двусмысленность между параметрами и nonce и обратно совместимо с существующими реализациями, поскольку делимиттер рассматривается как стандартный сепаратор параметров URL.