PT-2022-11374 · Unknown+10 · Cryptsetup+10
Milan Broz
·
Publicado
2021-06-13
·
Atualizado
2025-10-27
·
CVE-2021-4122
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do cryptsetup 2.2.0 a 2.3.6
Versões do cryptsetup 2.4.0 a 2.4.2
Descrição
Foi identificada uma falha no cryptsetup que poderia permitir que um invasor com acesso físico a um suporte de armazenamento, como um pen drive, induzisse o sistema a desativar a criptografia durante a recuperação do dispositivo. Isso poderia forçar um usuário a desativar permanentemente a camada de criptografia do meio. O problema está relacionado à modificação dos metadados do LUKS2, que podem ser alterados sem o conhecimento da chave de criptografia, permitindo que um invasor simule um processo de descriptografia iniciado anteriormente e deixe alguns dados descriptografados em texto simples.
Recomendações
Para as versões 2.2.0 a 2.3.6 do cryptsetup, atualize para a versão 2.3.7 ou posterior.
Para as versões 2.4.0 a 2.4.2 do cryptsetup, atualize para a versão 2.4.3 ou posterior.
Como solução alternativa temporária, considere usar o
luksDump para monitorar possíveis ataques e restringir o acesso físico a mídias criptografadas, a fim de minimizar o risco de exploração.Correção
Insufficient Verification of Data Authenticity
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Cryptsetup