PT-2022-7693 · Google+7 · Go+7
Publicado
2022-02-11
·
Atualizado
2024-12-03
·
CVE-2022-23806
CVSS v2.0
9.4
Crítica
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Go anteriores à 1.16.14
Versões do Go 1.17.x anteriores à 1.17.7
Descrição
O problema está relacionado ao componente Curve.IsOnCurve na linguagem de programação Golang, associado a uma verificação incorreta do valor de retorno de um método ou função. Isso pode permitir que um invasor remoto comprometa a disponibilidade e a integridade de um recurso. Especificamente, alguns valores big.Int que não são elementos de campo válidos, como valores negativos ou com estouro, podem fazer com que Curve.IsOnCurve retorne incorretamente o valor true. Operar com esses valores pode causar um panic ou uma operação de curva inválida.
Recomendações
Para versões do Go anteriores à 1.16.14, atualize para a versão 1.16.14 ou posterior.
Para versões do Go 1.17.x anteriores à 1.17.7, atualize para a versão 1.17.7 ou posterior.
Como solução temporária, considere adicionar verificações adicionais para elementos de campo válidos antes de chamar a função Curve.IsOnCurve para minimizar o risco de exploração.
Correção
Unchecked Return Value
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Go
Red Hat
Red Os
Rocky Linux
Suse