PT-2022-11829 · Stmicroelectronics · Stsafe-J+2
Publicado
2022-03-04
·
Atualizado
2022-03-10
·
CVE-2021-43392
CVSS v3.1
6.2
Média
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
STMicroelectronics STSAFE-J versão 1.1.4
STMicroelectronics J-SAFE3 versão 1.2.5
STMicroelectronics J-SIGN (versões afetadas não especificadas)
Descrição
A vulnerabilidade está associada ao algoritmo de assinatura ECDSA nas plataformas Java Card J-SAFE3 e STSAFE-J, que expõem uma API Java Card 3.0.4. Isso permite que invasores obtenham informações sobre segredos criptográficos. A vulnerabilidade pode ser explorada no STSAFE-J em configuração fechada e no J-SIGN quando a verificação de assinatura está ativada, mas não nos produtos J-SAFE3 EPASS BAC e EAC. O problema também pode afetar outros produtos baseados na plataforma Java Card J-SAFE-3.
Recomendações
Para o STMicroelectronics STSAFE-J versão 1.1.4, considere desativar o algoritmo de assinatura ECDSA até que um patch esteja disponível.
Para o STMicroelectronics J-SAFE3 versão 1.2.5, restrinja o acesso à API Java Card para minimizar o risco de exploração.
Para o J-SIGN da STMicroelectronics, evite usar o recurso de verificação de assinatura até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
J-Safe3
J-Sign
Stsafe-J