Open Enclave SDK 安全漏洞(CVE-2023-37479)
CVE编号
CVE-2023-37479利用情况
暂无补丁情况
N/A披露时间
2023-07-18漏洞描述
Open Enclave是一个硬件无关性开源库,用于开发利用基于硬件的可信执行环境(也称为Enclave)的应用程序。版本0.19.3中解决了两个问题。首先,Open Enclave SDK在enclave进入时未正确清理' MXCSR '寄存器。这使得应用程序容易受到MXCSR配置相关时间(MCDT)攻击的影响,其中不正确的MXCSR值可能会影响指令完成时间,取决于(机密)数据操作数值大小,具体详情请参考Intel的指导文档。其次,Open Enclave SDK在enclave进入时未清理x86的对齐检查标志'RFLAGS.AC'。这为侧信道攻击者打开了一个通知enclave执行的每个非对齐内存访问的可能性。此问题已在版本0.19.3和当前的主开发分支中得以解决。用户需要重新编译他们的应用程序,才能受到修补库的保护。这个漏洞没有已知的解决方法。解决建议
"将组件 openenclave/openenclave 升级至 0.19.3 及以上版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | openenclave | openenclave | * | Up to (excluding) 0.19.3 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-665 | 初始化不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论