CVE-2024-42098 in Linuxinfo

Zusammenfassung

von VulDB • 05.06.2026

Im Linux-Kernel wurde folgende Schwachstelle behoben:

crypto: ecdh – private_key explizit auf Null setzen

private_key wird mit dem vom Aufrufer übergebenen Schlüsselparameter überschrieben (falls vorhanden), oder alternativ mit einem neu generierten privaten Schlüssel. Es ist jedoch möglich, dass der Aufrufer einen Schlüssel (oder der neu generierte Schlüssel) bereitstellt, der kürzer ist als der vorherige Schlüssel. In diesem Szenario würde ein Teil des Schlüsselmateriales des vorherigen Schlüssels nicht überschrieben werden. Die einfachste Lösung besteht darin, das gesamte private_key-Array zunächst explizit auf Null zu setzen.

Beachten Sie, dass dieser Patch das Verhalten dieser Funktion leicht ändert: Bisher blieb der alte private_key erhalten, wenn ecc_gen_privkey fehlschlug. Jetzt wird private_key immer auf Null gesetzt. Dieses Verhalten ist konsistent mit dem Fall, in dem params.key festgelegt ist und ecc_is_key_valid fehlschlägt.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Linux

Reservieren

29.07.2024

Veröffentlichung

29.07.2024

Moderieren

akzeptiert

Eintrag

VDB-272778

CPE

bereit

EPSS

0.00210

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!