Недостаточный контроль уязвимости подлинности данных в hexpm hex (модуль Hex.RemoteConverger) позволяет обойти целостность зависимости с по…
Недостаточный контроль уязвимости подлинности данных в hexpm hex (модуль Hex.RemoteConverger) позволяет обойти целостность зависимости с помощью непроверенных проверок заблокированного файла. Hex хранит контрольные суммы на зависимости в файле mix.lock, чтобы обеспечить воспроизводимые и проверенные целостностью сборки. Однако Hex.RemoteConverger.verify_resolved/2 никогда не выполняет проверку контрольной купе, потому что данные блокировки, полученные Hex.Utils.lock/1, используют имена зависимостей на основе строк, в то время как логика проверки сравнивается с именами на основе атомов. Этот тип несоответствия приводит к тому, что путь проверочного кода становится бесшумно пропущенным. Контрольные суммы по-прежнему проверяются, когда пакеты первоначально загружаются из реестра, но несоответствия между замком и разрешенными зависимостями не обнаруживаются. Злоумышленник, который может влиять на кэшированные пакеты (например, через местное отравление кэша или скомпрометированный реестр), может предоставить модифицированное содержимое зависимостей, которое будет принято без обнаружения. Файл mix.lock бесшумно переписывается с значениями контрольной суммы из реестра, стирая доказательства фальсификации. Эта проблема затрагивает шепот: от 0.16.0 до 2.4.2.
Продукт не проверяет или некорректно проверяет значения контроля целостности или «контрольные суммы» сообщения. Это может лишить его возможности обнаружить изменение или повреждение данных при передаче.
https://cwe.mitre.org/data/definitions/354.html →Открыть в коллекции CWE →Как правило, это файлы, редактируемые вручную и не находящиеся в зоне видимости системных администраторов. Любая возможность злоумышленника изменять эти файлы, например в репозитории CVS, предоставляет несанкционированный доступ непосредственно к приложению — такой же, как у авторизованных пользователей.
https://capec.mitre.org/data/definitions/75.html →Открыть в коллекции CAPEC →Злоумышленник подделывает сообщение с контрольной суммой, чтобы полезная нагрузка воспринималась как имеющая допустимую соответствующую контрольную сумму. Контрольные суммы используются для проверки целостности сообщений. Они представляют собой некоторое значение, зависящее от значения защищаемого сообщения. Хеш-коды являются распространённым механизмом контрольных сумм. Как отправитель, так и получатель способны вычислить контрольную сумму на основе содержимого сообщения. Если содержимое сообщения изменится между отправителем и получателем, они получат разные значения контрольной суммы. Поскольку значение контрольной суммы отправителя передаётся вместе с сообщением, получатель узнаёт о произошедшем изменении. При подмене контрольной суммы злоумышленник изменяет тело сообщения, а затем модифицирует соответствующую контрольную сумму так, чтобы вычисленная получателем контрольная сумма совпала с контрольной суммой (сформированной злоумышленником) в сообщении. Это не позволит получателю обнаружить факт изменения.
https://capec.mitre.org/data/definitions/145.html →Открыть в коллекции CAPEC →Злоумышленник способен эффективно расшифровывать данные, не зная ключа дешифрования, если целевая система раскрывает информацию о том, возникла ли ошибка дополнения при расшифровке зашифртекста. Целевая система, утечку такой информации, становится оракулом дополнения, а злоумышленник может использовать этот оракул для эффективной расшифровки данных без знания ключа дешифрования, выполнив в среднем 128*b обращений к оракулу дополнения (где b — количество байт в блоке зашифртекста). Помимо расшифровки, злоумышленник способен также формировать корректные зашифртексты (то есть выполнять шифрование) с использованием оракула дополнения, не зная ключа шифрования.
https://capec.mitre.org/data/definitions/463.html →Открыть в коллекции CAPEC →