Libsodium의 취약점
- Libsodium 프로젝트는 암호화 기술을 쉽게 사용하도록 돕기 위해 시작되었으며, 고수준 API 제공을 목표로 합니다.
- 높은 안정성을 유지해온 Libsodium은 13년간 CVE 없이 보안 성과를 기록했습니다.
- 최근 발견된 취약점은
crypto_core_ed25519_is_valid_point()함수의 오류에서 발생했습니다. - 이 함수는 Edwards25519 수학적 구조 내의 특정 점들이 주 그룹에 속하는지를 체크하지만, 일부 부그룹 점들을 부정확하게 통과시키는 문제를 발견했습니다.
- 문제의 원인은 Y와 Z 좌표를 비교하는 것이 누락된 것인데, 이는 코드 내에서 문제 점의 유효성 체크가 제대로 수행되지 않는 원인이었습니다.
- 수정보완은 간단하게 이루어졌으며, X 좌표가 0이고 Y 좌표가 Z와 같은지를 확인하는 코드가 추가되었습니다.
- 이 문제는 1.0.20 이하 릴리스 버전과 2025년 12월 30일 이전의 Libsodium 버전에 영향을 미칩니다.
- 대부분의 사용자에게는 큰 영향을 미치지 않으며, 특히 높은 수준의 API (crypto_sign_*)는 영향을 받지 않습니다.
- Ristretto255 그룹이 2019년에 추가되어, 추가적인 점 검증 없이 안전하게 사용할 수 있습니다.
- 커스텀 암호화 스킴을 구현하는 경우 Ristretto255 사용을 권장합니다.
- 해당 문제는 즉시 수정되었으며, 2025년 12월 30일 이후 릴리스된 모든 패키지에 반영되었습니다.
- 유지 관리자는 프로젝트 지원을 통해 지속적인 개선과 유지 보수에 기여할 것을 고려해 달라고 요청했습니다.
400f.net링크 복사하기
AI 뉴스 요약은 뉴스의 내용을 AI가 요약 한 것입니다. 따라서 틀린 내용을 포함할 수 있습니다. 뉴스의 자세한 내용을 확인하시려면 해당 뉴스 링크를 클릭해주세요.