Vulnerabilidad en Curve.IsOnCurve en crypto/elliptic en Go (CVE-2022-23806)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/02/2022
Última modificación:
20/04/2023
Descripción
Curve.IsOnCurve en crypto/elliptic en Go versiones anteriores a 1.16.14 y versiones 1.17.x anteriores a 1.17.7, puede devolver incorrectamente true en situaciones con un valor big.Int que no es un elemento de campo válido
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* | 1.16.14 (excluyendo) | |
| cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* | 1.17.0 (incluyendo) | 1.17.7 (excluyendo) |
| cpe:2.3:a:netapp:beegfs_csi_driver:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:cloud_insights_telegraf_agent:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:kubernetes_monitoring_operator:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:storagegrid:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://groups.google.com/g/golang-announce/c/SUsQn0aSgPQ
- https://lists.debian.org/debian-lts-announce/2022/04/msg00017.html
- https://lists.debian.org/debian-lts-announce/2022/04/msg00018.html
- https://lists.debian.org/debian-lts-announce/2023/04/msg00021.html
- https://security.gentoo.org/glsa/202208-02
- https://security.netapp.com/advisory/ntap-20220225-0006/
- https://www.oracle.com/security-alerts/cpujul2022.html