CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-24785

Critical
Published: Translated: NVD NIST

Summary

Clatter to zgodna z no_std, czysta implementacja protokołu Noise w języku Rust z wsparciem dla post-kwantowego. Wersje przed 2.2.0 mają podatność na niezgodność protokołu, która pozwalała na użycie kluczy pochodzących z PSK bez odpowiedniej randomizacji, co osłabia gwarancje bezpieczeństwa.

Risk Assessment

Organizacje korzystające z podatnych wzorców mogą być narażone na poważne ryzyko związane z ponownym użyciem kluczy, co może prowadzić do kompromitacji danych i naruszenia bezpieczeństwa.

Recommendation

Zaleca się aktualizację do wersji Clatter v2.2.0, która zawiera poprawki oraz sprawdzenia w czasie rzeczywistym, aby wykrywać nieprawidłowe wzorce handshake. W międzyczasie należy unikać używania wariantów `*_psk0` w post-kwantowych wzorcach.

Original NVD description (English source)

Clatter is a no_std compatible, pure Rust implementation of the Noise protocol framework with post-quantum support. Versiosn prior to2.2.0 have a protocol compliance vulnerability. The library allowed post-quantum handshake patterns that violated the PSK validity rule (Noise Protocol Framework Section 9.3). This could allow PSK-derived keys to be used for encryption without proper randomization by self-chosen ephemeral randomness, weakening security guarantees and potentially allowing catastrophic key reuse. Affected default patterns include `noise_pqkk_psk0`, `noise_pqkn_psk0`, `noise_pqnk_psk0`, `noise_pqnn_psk0``, and some hybrid variants. Users of these patterns may have been using handshakes that do not meet the intended security properties. The issue is fully patched and released in Clatter v2.2.0. The fixed version includes runtime checks to detect offending handshake patterns. As a workaround, avoid using offending `*_psk0` variants of post-quantum patterns. Review custom hands

Vulnerability data from NVD (NIST) · CISA KEV · EPSS