PT-2022-7375 · Ipxe+1 · Ipxe+1
Rezaduty
·
Publicado
2022-11-21
·
Atualizado
2024-06-13
·
CVE-2022-4087
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
iPXE (versões afetadas não especificadas)
Descrição
Foi encontrada uma vulnerabilidade na função
tls new ciphertext do arquivo src/net/tls.c do componente TLS. A manipulação do argumento pad len leva à exposição de informações devido a uma discrepância. Este problema está relacionado a um controle de acesso incorreto e pode ser explorado por um invasor remoto para divulgar informações confidenciais.Recomendações
Para corrigir este problema, recomenda-se aplicar um patch com o nome 186306d6199096b7a7c4b4574d4be8cdb8426729. Como solução temporária, considere desativar a função
tls new ciphertext até que um patch esteja disponível. Restrinja o acesso ao arquivo src/net/tls.c para minimizar o risco de exploração. Evite usar o argumento pad len no componente TLS afetado até que a vulnerabilidade seja resolvida.Correção
Improper Access Control
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Red Os
Ipxe