PT-2024-6833 · Linux+1 · Linux Kernel+1
David Gstir
·
Publicado
2024-08-15
·
Atualizado
2024-10-09
·
CVE-2024-45004
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
O problema está relacionado ao tratamento de chaves confiáveis no kernel do Linux. Especificamente, ao importar uma chave confiável baseada em DCP e, em seguida, exportá-la novamente, a chave de criptografia de blob (BEK) é descriptografada no local, fazendo com que o campo de blob da chave confiável contenha a BEK em texto simples. Como resultado, cada leitura subsequente dessa chave envia a BEK em texto simples, em vez da BEK criptografada, para o espaço do usuário. Esse problema é raro e geralmente ocorre ao importar uma chave confiável baseada em DCP e, em seguida, exportá-la novamente, o que não é um caso de uso comum.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Linux Kernel