Katalog CVE

CVE-2026-24785

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Clatter to zgodna z no_std, czysta implementacja protokołu Noise w języku Rust z wsparciem dla post-kwantowego. Wersje przed 2.2.0 mają podatność na niezgodność protokołu, która pozwalała na użycie kluczy pochodzących z PSK bez odpowiedniej randomizacji, co osłabia gwarancje bezpieczeństwa.

Ocena ryzyka

Organizacje korzystające z podatnych wzorców mogą być narażone na poważne ryzyko związane z ponownym użyciem kluczy, co może prowadzić do kompromitacji danych i naruszenia bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji Clatter v2.2.0, która zawiera poprawki oraz sprawdzenia w czasie rzeczywistym, aby wykrywać nieprawidłowe wzorce handshake. W międzyczasie należy unikać używania wariantów `*_psk0` w post-kwantowych wzorcach.

Oryginalny opis (angielski, źródło NVD)

Clatter is a no_std compatible, pure Rust implementation of the Noise protocol framework with post-quantum support. Versiosn prior to2.2.0 have a protocol compliance vulnerability. The library allowed post-quantum handshake patterns that violated the PSK validity rule (Noise Protocol Framework Section 9.3). This could allow PSK-derived keys to be used for encryption without proper randomization by self-chosen ephemeral randomness, weakening security guarantees and potentially allowing catastrophic key reuse. Affected default patterns include `noise_pqkk_psk0`, `noise_pqkn_psk0`, `noise_pqnk_psk0`, `noise_pqnn_psk0``, and some hybrid variants. Users of these patterns may have been using handshakes that do not meet the intended security properties. The issue is fully patched and released in Clatter v2.2.0. The fixed version includes runtime checks to detect offending handshake patterns. As a workaround, avoid using offending `*_psk0` variants of post-quantum patterns. Review custom hands

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS