Vulnerabilidad en el valor de autenticación de una clave creada con CreateWrapKey en un valor de "migrationAuth" inicializado en la biblioteca go-tpm TPM1.2 de Google (CVE-2020-8918)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/08/2020
Última modificación:
18/08/2020
Descripción
Un valor de "migrationAuth" inicializado inapropiadamente en la biblioteca go-tpm TPM1.2 de Google versiones anteriores a 0.3.0, puede conllevar a un atacante que espía a detectar el valor de autenticación de una clave creada con CreateWrapKey. Un atacante que escucha en el canal puede recopilar "encUsageAuth" y "encMigrationAuth", y luego puede calcular "useAuth ^ encMigrationAuth" ya que se puede adivinar "migrationAuth" para todas las claves creadas con CreateWrapKey. TPM2.0 no está afectado por esto. Recomendamos actualizar su biblioteca a la versión 0.3.0 o posterior o, si no puede actualizar, llamar a CreateWrapKey con un valor aleatorio de 20 bytes para "migrationAuth"
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Puntuación base 2.0
3.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:google:go-tpm:*:*:*:*:*:*:*:* | 0.3.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página