PT-2025-4738 · Go+9 · Go+9

Rolandshoemaker

·

Publicado

2025-02-04

·

Atualizado

2026-01-30

·

CVE-2025-22866

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do Go anteriores a 1.23.6 Versões do Go anteriores a 1.22.12
Descrição A questão refere-se a uma correção de segurança no módulo crypto/elliptic. Devido ao uso de uma instrução de tempo variável na implementação em assembly de uma função interna, um pequeno número de bits de escalares secretos são vazados na arquitetura ppc64le. No entanto, acredita-se que este vazamento não seja suficiente para permitir a recuperação da chave privada quando o P-256 é utilizado em qualquer protocolo bem conhecido.
Recomendações Para versões do Go anteriores a 1.23.6, atualize para a versão 1.23.6 para resolver o problema. Para versões do Go anteriores a 1.22.12, atualize para a versão 1.22.12 para resolver o problema.

Correção

Memory Leak

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-401

Identificadores relacionados

ALSA-2025:7466
ALT-PU-2025-10791
ALT-PU-2025-3850
ALT-PU-2025-3927
ALT-PU-2025-6549
BDU:2025-03456
BIT-GOLANG-2025-22866
CLEANSTART-2026-CR41732
CLEANSTART-2026-OJ41940
CVE-2025-22866
ECHO-2AD3-2EE4-A992
GO-2025-3447
MGASA-2025-0065
OPENSUSE-SU-2025:14735-1
OPENSUSE-SU-2025:14745-1
OPENSUSE-SU-2025:14746-1
OPENSUSE-SU-2025:14754-1
OPENSUSE-SU-2025:15030-1
OPENSUSE-SU-2025_0392-1
OPENSUSE-SU-2025_0393-1
OPENSUSE-SU-2025_0429-1
OPENSUSE-SU-2025_0431-1
RHSA-2025:3773
RHSA-2025:7326
RHSA-2025:7466
RHSA-2025_3773
RHSA-2025_7326
SUSE-SU-2025:01731-1
SUSE-SU-2025:03159-1
SUSE-SU-2025:0392-1
SUSE-SU-2025:0393-1
SUSE-SU-2025:0429-1
SUSE-SU-2025:0431-1
SUSE-SU-2025:1555-1
SUSE-SU-2025_03159-1
SUSE-SU-2025_0392-1
SUSE-SU-2025_0393-1
SUSE-SU-2025_0431-1
USN-7574-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Go
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu