Vulnerabilidad en la Application Binary Interface (ABI) de Linux System V en los enclaves que usan operaciones x87 FPU en openenclave (CVE-2020-15107)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/07/2020
Última modificación:
22/07/2020
Descripción
En openenclave versión anterior a 0.10.0, los enclaves que usan operaciones x87 FPU son vulnerables a la manipulación por parte de una aplicación host maliciosa. Al violar la Application Binary Interface (ABI) de Linux System V para tales operaciones, una aplicación host puede comprometer la integridad de ejecución de algunas operaciones x87 FPU en un enclave. Dependiendo de la configuración de control de FPU de la aplicación de enclave y de si las operaciones se usan en rutas de ejecución dependientes de secretos, esta vulnerabilidad también puede ser usada para montar un ataque de canal lateral en el enclave. Esto se ha corregido en 0.10.0 y la derivación maestra actual. Los usuarios deberán recompilar sus aplicaciones contra las bibliotecas parcheadas para estar protegidos de esta vulnerabilidad
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
1.20
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openenclave:openenclave:*:*:*:*:*:*:*:* | 0.10.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página