Vulnerabilidad en go-attestation (CVE-2022-0317)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
04/02/2022
Última modificación:
09/02/2022
Descripción
Una vulnerabilidad de Comprobación de Entrada Inapropiada en go-attestation versiones anteriores a 0.3.3, permite a usuarios locales proporcionar una cita con forma maliciosa sobre no/algunas PCR, causando que AKPublic.Verify tenga éxito a pesar de la inconsistencia. El uso posterior del mismo conjunto de valores de PCR en Eventlog.Verify carece de la autenticación llevada a cabo por la verificación de citas, lo que significa que un atacante local podría acoplar esta vulnerabilidad con un registro TCG diseñado de forma maliciosa en Eventlog.Verify para falsificar eventos en el registro TCG, derrotando así el arranque medido comprobado de forma remota. Recomendamos actualizar a la versión 0.4.0 o superior
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:google:go-attestation:*:*:*:*:*:*:*:* | 0.3.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página