关键漏洞信息 漏洞标题: ML-DSA Signature Verification Accepts Signatures with Repeated Hint Indices 漏洞标识符: GHSA-5x2r-hc65-25f9 CVE ID: CVE-2026-24850 CVSS v3 基础指标: - 严重性: 中等 (5.3/10) - 攻击向量: 网络 - 攻击复杂性: 低 - 所需权限: 无 - 用户交互: 无 - 作用范围: 不可变 - 机密性影响: 无 - 完整性影响: 低 - 可用性影响: 无 受影响模块: ml-dsa (Rust) 受影响版本: v0.1.0-rc.3 及以下 修复版本: v0.1.0-rc.4 及以上 漏洞描述: - ml-dsa 签名验证实现错误地接受具有重复提示索引的签名,这违反了 ML-DSA 规范(FIPS 204 / RFC 9881),导致签名可变性。 根本原因: - 函数中使用了非严格单调检查( )而不是严格小于( ),导致重复提示索引未被拒绝。 回归分析: - 原始正确的代码在 commit 中使用了严格小于( )。 - 错误在 commit 中被引入,将检查改为 。 技术影响: - 签名可变性: 同一逻辑签名可有多个有效的字节级编码,攻击者可利用这一点创建额外的“有效”签名。 - 协议级漏洞: 依赖签名唯一性的系统可能易受攻击。 - 互操作问题: 非标准签名可能被其他符合规范的实现拒绝。 补救措施: - 更新 函数使用严格小于( )进行比较。 设计意图: ML-DSA 并未设计为允许签名可变性。 相关链接与参考: - FIPS 204 标准等。