Vulnerabilità: CVE-2020-8911

Una vulnerabilità imbottitura oracolo esiste nella AWS S3 Crypto SDK per le versioni precedenti GoLang a V2. L’SDK permette agli utenti di crittografare i file con AES-CBC senza calcolare un codice di autenticazione dei messaggi (MAC), che poi permette ad un aggressore che ha accesso in scrittura al secchio S3 del bersaglio e può osservare o meno di un endpoint con accesso alla chiave può decifrare un file, si può ricostruire il testo in chiaro con (in media) 128 * lunghezza (in chiaro) interroga al punto finale, sfruttando la capacità del CBC di manipolare i byte del blocco successivo e gli errori imbottitura PKCS5. Si consiglia di aggiornare il proprio SDK per V2 o poi, e ri-crittografare i file.


https://aws.amazon.com/blogs/developer/updates-to-the-amazon-s3-encryption-client/?s=09
https://aws.amazon.com/blogs/developer/updates-to-the-amazon-s3-encryption-client/?s=09
https://github.com/google/security-research/security/advisories/GHSA-f5pg-7wfw-84q9
https://github.com/google/security-research/security/advisories/GHSA-f5pg-7wfw-84q9
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8911


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi