PT-2020-20375 · Google · Asylo
Kang Li
+3
·
Publicado
2020-12-15
·
Atualizado
2020-12-17
·
CVE-2020-8937
CVSS v3.1
5.3
Média
| Vetor | AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Asylo até 0.6.0
Descrição
Uma falha de sobrescrita arbitrária de memória permite que um invasor faça uma chamada ao
enc untrusted create wait queue, que utiliza uma fila de ponteiros baseada em UntrustedLocalMemcpy, a qual não valida a localização do ponteiro. Isso permite que um invasor grave valores de memória a partir do enclave.Recomendações
Para versões do Asylo até 0.6.0, atualize para uma versão posterior ao commit a37fb6a0e7daf30134dbbf357c9a518a1026aa02 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função
enc untrusted create wait queue e à função UntrustedLocalMemcpy até que um patch esteja disponível.Correção
Buffer Overflow
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Asylo