PT-2022-11830 · Stmicroelectronics · Stsafe-J+2
Publicado
2022-03-04
·
Atualizado
2022-03-10
·
CVE-2021-43393
CVSS v3.1
6.2
Média
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
STMicroelectronics STSAFE-J versão 1.1.4
STMicroelectronics J-SAFE3 versão 1.2.5
STMicroelectronics J-SIGN (versões afetadas não especificadas)
Descrição
A vulnerabilidade está associada ao algoritmo de assinatura ECDSA nas plataformas Java Card J-SAFE3 e STSAFE-J, que expõem uma API Java Card 3.0.4. Isso permite que invasores se aproveitem da verificação de assinatura. A vulnerabilidade pode ser explorada no STSAFE-J em configuração fechada e no J-SIGN quando a verificação de assinatura está ativada, mas não nos produtos J-SAFE3 EPASS BAC e EAC. O problema também pode afetar outros produtos baseados na plataforma Java Card J-SAFE-3.
Recomendações
Para o STMicroelectronics STSAFE-J versão 1.1.4, considere desativar o algoritmo de assinatura ECDSA até que um patch esteja disponível.
Para o STMicroelectronics J-SAFE3 versão 1.2.5, restrinja o acesso à API Java Card para minimizar o risco de exploração.
Para o STMicroelectronics J-SIGN, desative a verificação de assinatura como uma solução temporária até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
J-Safe3
J-Sign
Stsafe-J