PT-2022-18962 · Go+5 · Go+5

Publicado

2022-04-12

Atualizado

2025-02-14

CVE-2022-28327

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Nome do software vulnerável e versões afetadas

Versões do Go anteriores à 1.17.9

Versões do Go 1.18.x anteriores à 1.18.1

Descrição

A vulnerabilidade permite que ocorra um panic devido a uma entrada escalar longa no recurso genérico P-256 do pacote crypto/elliptic. Uma entrada escalar manipulada com mais de 32 bytes pode causar um panic em P256().ScalarMult ou P256().ScalarBaseMult.

Recomendações

Para versões do Go anteriores à 1.17.9, atualize para a versão 1.17.9 ou posterior.

Para versões do Go 1.18.x anteriores à 1.18.1, atualize para a versão 1.18.1 ou posterior.

Como solução temporária, considere restringir o uso de entradas escalares longas nas funções P256().ScalarMult e P256().ScalarBaseMult até que um patch esteja disponível.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

ALT-PU-2022-1689

ALT-PU-2022-1707

ALT-PU-2022-2873

ALT-PU-2023-1205

AZL-9547

BIT-GOLANG-2022-28327

CESA-2022_5337

CVE-2022-28327

GO-2022-0435

MGASA-2022-0171

OESA-2022-1661

OESA-2025-1122

OESA-2025-1123

OPENSUSE-SU-2022_1410-1

OPENSUSE-SU-2022_1411-1

OPENSUSE-SU-2024:11991-1

OPENSUSE-SU-2024:12004-1

RHSA-2022:5068

RHSA-2022:5337

RHSA-2022:5415

RHSA-2022:5729

RHSA-2022:5799

RHSA-2022:6042

RHSA-2022:6094

RHSA-2022:6155

RHSA-2022:6277

RHSA-2022_5337

RHSA-2022_5799

RHSA-2023:3914

RHSA-2023:4003

RLSA-2022:5337

RLSA-2022:5799

SUSE-SU-2022:1410-1

SUSE-SU-2022:1411-1

SUSE-SU-2023:2312-1

Produtos afetados

Alt Linux

Centos

Red Hat

Rocky Linux

Suse

PT-2022-18962 · Go+5 · Go+5

CVE-2022-28327

Identificadores relacionados

Produtos afetados

Referências · 130