PT-2026-6781 · Keylime+1 · Keylime+1

Bzimport

·

Publicado

2026-02-06

·

Atualizado

2026-03-19

·

CVE-2026-1709

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do Keylime 7.12.0 e posteriores
Descrição Existe uma falha no Keylime na qual o registrador não impõe a autenticação Transport Layer Security (TLS) do lado do cliente. Isso permite que clientes não autenticados com acesso à rede realizem operações administrativas. Essas operações incluem listar agentes, recuperar dados públicos do Módulo de Plataforma Confiável (TPM) e excluir agentes ao conectar-se sem apresentar um certificado de cliente.
Recomendações As versões 7.12.0 e posteriores exigem que a autenticação TLS do lado do cliente seja imposta para prevenir operações administrativas não autorizadas.

Correção

DoS

Missing Authentication

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306CWE-322CWE-295

Identificadores relacionados

ALSA-2026:2224
ALSA-2026:2225
CVE-2026-1709
GHSA-27JC-JMP8-QFW5
GHSA-4JQP-9QJV-57M2
OPENSUSE-SU-2026:10165-1
OPENSUSE-SU-2026:20398-1
PYSEC-2026-74
RHSA-2026:2224
RHSA-2026:2225
RHSA-2026:2298
SUSE-SU-2026:20912-1

Produtos afetados

Keylime
Rocky Linux