CVE-2022-0317

Versões do go-attestation anteriores à 0.4.0

O problema é causado por uma validação inadequada de entradas em AKPublic.Verify, permitindo que usuários locais forneçam uma citação (Quote) maliciosamente criada sobre nenhum ou alguns PCRs, fazendo com que AKPublic.Verify seja executado com sucesso apesar da inconsistência. O uso subsequente do mesmo conjunto de valores de PCR em Eventlog.Verify carece da autenticação realizada pela verificação de citação, o que significa que um invasor local poderia combinar essa vulnerabilidade com um log TCG criado de forma maliciosa em Eventlog.Verify para falsificar eventos no log TCG, frustrando assim a inicialização medida atestada remotamente.

Para versões do go-attestation anteriores à 0.4.0, atualize para a versão 0.4.0 ou superior para resolver o problema. Se o uso desta biblioteca verificar PCRs usando múltiplas citações, certifique-se de usar o novo método AKPublic.VerifyAll() em vez de AKPublic.Verify.