CVE-2024-42098 in Linux
Zusammenfassung
von VulDB • 05.06.2026
Im Linux-Kernel wurde folgende Schwachstelle behoben:
crypto: ecdh – private_key explizit auf Null setzen
private_key wird mit dem vom Aufrufer übergebenen Schlüsselparameter überschrieben (falls vorhanden), oder alternativ mit einem neu generierten privaten Schlüssel. Es ist jedoch möglich, dass der Aufrufer einen Schlüssel (oder der neu generierte Schlüssel) bereitstellt, der kürzer ist als der vorherige Schlüssel. In diesem Szenario würde ein Teil des Schlüsselmateriales des vorherigen Schlüssels nicht überschrieben werden. Die einfachste Lösung besteht darin, das gesamte private_key-Array zunächst explizit auf Null zu setzen.
Beachten Sie, dass dieser Patch das Verhalten dieser Funktion leicht ändert: Bisher blieb der alte private_key erhalten, wenn ecc_gen_privkey fehlschlug. Jetzt wird private_key immer auf Null gesetzt. Dieses Verhalten ist konsistent mit dem Fall, in dem params.key festgelegt ist und ecc_is_key_valid fehlschlägt.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.