CVE编号
CVE-2021-3623利用情况
暂无补丁情况
官方补丁披露时间
2021-07-02漏洞描述
Archlinux libtpms是 Archlinux开源的一个应用程序。提供可信任平台模块(TPM 1.2和TPM 2.0)的软件仿真的库。 Archlinux libtpms存在缓冲区错误漏洞,该漏洞源于边界条件。本地用户可以使用包含非法值的TPM 2命令包来触发一个超出范围的读错误,并执行拒绝服务(DoS)攻击。解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://bugzilla.redhat.com/show_bug.cgi?id=1976806
参考链接 |
|
|---|---|
| https://bugzilla.redhat.com/show_bug.cgi?id=1976806 | |
| https://github.com/stefanberger/libtpms/commit/2e6173c | |
| https://github.com/stefanberger/libtpms/commit/2f30d62 | |
| https://github.com/stefanberger/libtpms/commit/7981d9a | |
| https://github.com/stefanberger/libtpms/pull/223 | |
| https://vigilance.fr/vulnerability/libtpms-out-of-bounds-memory-reading-via-T... | |
| https://www.cybersecurity-help.cz/vdb/SB2021070129 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | libtpms_project | libtpms | * |
Up to (excluding) 0.6.5 |
|||||
| 运行在以下环境 | |||||||||
| 应用 | libtpms_project | libtpms | * |
From (including) 0.7.0 |
Up to (excluding) 0.7.8 |
||||
| 运行在以下环境 | |||||||||
| 应用 | libtpms_project | libtpms | * |
From (including) 0.8.0 |
Up to (excluding) 0.8.4 |
||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | libtpms | * |
Up to (excluding) 0.8.2-1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_34 | libtpms | * |
Up to (excluding) 0.8.4-1.20210624gita594c4692a.fc34.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_8 | libtpms | * |
Up to (excluding) 0.8.4-0.20210624gita594c4692a.el8.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_7 | libtpms | * |
Up to (excluding) 0.8.8-1.el7 |
|||||
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 N/A
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 DoS
- 全网数量 N/A
还没有评论,来说两句吧...