PT-2021-2163 · Google+7 · Go+7

Philippe Antoine

·

Publicado

2021-01-20

·

Atualizado

2024-06-15

·

CVE-2021-3114

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do Go anteriores à 1.14.14
Versões do Go 1.15.x anteriores à 1.15.7
Descrição
O problema está relacionado a cálculos incorretos no arquivo crypto/elliptic/p224.go da linguagem de programação Go. Isso pode permitir que um invasor remoto divulgue informações protegidas e comprometa a integridade dessas informações. O problema está associado a um underflow do membro inferior durante a redução completa final no campo P-224, o que pode resultar na geração de saídas incorretas, incluindo o retorno de pontos inválidos do ScalarMult.
Recomendações
Para versões do Go anteriores à 1.14.14, atualize para a versão 1.14.14 ou posterior.
Para versões do Go 1.15.x anteriores à 1.15.7, atualize para a versão 1.15.7 ou posterior.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-682

Identificadores relacionados

ALSA-2021:4226
ALT-PU-2021-1090
ALT-PU-2021-1111
ALT-PU-2021-1138
ALT-PU-2021-1456
ALT-PU-2021-1941
AZL-79110
BDU:2021-01056
BIT-GOLANG-2021-3114
CESA-2021_1746
CESA-2021_4226
CVE-2021-3114
DLA-2591-1
DLA-2592-1
DSA-4848-1
GO-2021-0235
OPENSUSE-SU-2021:0190-1
OPENSUSE-SU-2021:0192-1
OPENSUSE-SU-2021:0194-1
OPENSUSE-SU-2021_0190-1
OPENSUSE-SU-2021_0192-1
OPENSUSE-SU-2021_0194-1
OPENSUSE-SU-2024:10807-1
OPENSUSE-SU-2024:10808-1
RHSA-2021:0958
RHSA-2021:1006
RHSA-2021:1339
RHSA-2021:1366
RHSA-2021:1551
RHSA-2021:1746
RHSA-2021:2095
RHSA-2021:2437
RHSA-2021:4103
RHSA-2021:4226
RHSA-2021_1746
RHSA-2021_4226
RHSA-2022:0308
RLSA-2021:1746
RLSA-2021:4226
SUSE-SU-2021:0222-1
SUSE-SU-2021:0223-1
SUSE-SU-2021_0222-1
SUSE-SU-2021_0223-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Go
Red Hat
Rocky Linux
Suse