CVE-2024-34703

Botan is a C++ cryptography library. X.509 certificates can identify elliptic curves using either an object identifier or using explicit encoding of the parameters. Prior to versions 3.3.0 and 2.19.4, an attacker could present an ECDSA X.509 certificate using explicit encoding where the parameters are very large. The proof of concept used a 16Kbit prime for this purpose. When parsing, the parameter is checked to be prime, causing excessive computation. This was patched in 2.19.4 and 3.3.0 to allow the prime parameter of the elliptic curve to be at most 521 bits. No known workarounds are available. Note that support for explicit encoding of elliptic curve parameters is deprecated in Botan.
Configurations

No configuration.

History

21 Nov 2024, 09:19

Type Values Removed Values Added
References () https://github.com/randombit/botan/commit/08c404b23740babee1f6aa51b54e966029aadee4 - () https://github.com/randombit/botan/commit/08c404b23740babee1f6aa51b54e966029aadee4 -
References () https://github.com/randombit/botan/commit/94e9154c143aa5264da6254a6a1be5bc66ee2b5a - () https://github.com/randombit/botan/commit/94e9154c143aa5264da6254a6a1be5bc66ee2b5a -
References () https://github.com/randombit/botan/security/advisories/GHSA-w4g2-7m2h-7xj7 - () https://github.com/randombit/botan/security/advisories/GHSA-w4g2-7m2h-7xj7 -

01 Jul 2024, 12:37

Type Values Removed Values Added
Summary
  • (es) Botan es una librería de criptografía C++. Los certificados X.509 pueden identificar curvas elípticas utilizando un identificador de objeto o una codificación explícita de los parámetros. Antes de las versiones 3.3.0 y 2.19.4, un atacante podía presentar un certificado ECDSA X.509 usando codificación explícita donde los parámetros eran muy grandes. La prueba de concepto utilizó un prime de 16 Kbit para este propósito. Al analizar, se comprueba que el parámetro sea primo, lo que provoca un cálculo excesivo. Esto fue parcheado en 2.19.4 y 3.3.0 para permitir que el parámetro principal de la curva elíptica tenga como máximo 521 bits. No hay workarounds disponibles. Tenga en cuenta que la compatibilidad con la codificación explícita de parámetros de curvas elípticas está obsoleta en Botan.

30 Jun 2024, 21:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-06-30 21:15

Updated : 2024-11-21 09:19


NVD link : CVE-2024-34703

Mitre link : CVE-2024-34703

CVE.ORG link : CVE-2024-34703


JSON object : View

Products Affected

No product.

CWE
CWE-405

Asymmetric Resource Consumption (Amplification)

CWE-770

Allocation of Resources Without Limits or Throttling