配置分区未从 2 个前端测量 (CVE-2023-43630)
CVE编号
CVE-2023-43630利用情况
暂无补丁情况
N/A披露时间
2023-09-20漏洞描述
尽管在修复此问题的提交“7638364bc0acf8b5c481b5ce5fea11ad44ad7fd4”中已经实施了更改,但光修复此问题并不能解决配置分区测量不正确的问题。 此外,“vault”密钥使用SHA1 PCR而不是SHA256进行封存/解封,尽管所有PCR扩展函数会同时更新给定PCR ID的SHA256和SHA1的值,但此问题在很大程度上得到了缓解。 然而,由于在提交“7638364bc0acf8b5c481b5ce5fea11ad44ad7fd4”中实现的更改,对于PCR14来说这已不再适用,因为“measurefs.go”中的代码仅显式更新PCR14的SHA256实例,这意味着即使将PCR14添加到封存/解封“vault”密钥的PCR列表中,配置分区的更改仍将无法测量。 攻击者可以修改配置分区而不触发测量引导,这可能导致攻击者完全控制设备,并完全访问加密的“vault”内容。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://asrg.io/security-advisories/cve-2023-43630/ |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | linuxfoundation | edge_virtualization_engine | * | From (including) 9.0.0 | Up to (excluding) 9.5.0 | ||||
- 攻击路径 本地
- 攻击复杂度 低
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-522 | 不充分的凭证保护机制 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论