Уязвимость в WireGuard на Windows, позволяющая вывести из строя статический приватный ключ
Описание
В WireGuard, например, в версии 0.5.3 на Windows, обнаружена уязвимость, связанная с некорректной обработкой изменения системного времени. Злоумышленник может установить системное время жертвы на будущее значение, например, из-за использования неаутентифицированного NTP. Это может привести к ситуации, в которой статический приватный ключ становится навсегда недоступным для использования.
Затронутые версии ПО
- WireGuard 0.5.3 на Windows
Тип уязвимости
Нарушение целостности данных
Ссылки
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
Уязвимые конфигурации
Одновременно
EPSS
5.3 Medium
CVSS3
Дефекты
Связанные уязвимости
WireGuard, such as WireGuard 0.5.3 on Windows, does not fully account for the possibility that an adversary might be able to set a victim's system time to a future value, e.g., because unauthenticated NTP is used. This can lead to an outcome in which one static private key becomes permanently useless.
WireGuard, such as WireGuard 0.5.3 on Windows, does not fully account ...
WireGuard, such as WireGuard 0.5.3 on Windows, does not fully account for the possibility that an adversary might be able to set a victim's system time to a future value, e.g., because unauthenticated NTP is used. This can lead to an outcome in which one static private key becomes permanently useless.
Уязвимость реализации протокола синхронизации времени NTP VPN-сервиса WireGuard операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании
EPSS
5.3 Medium
CVSS3