CVE-2024-42098 in Linux
Riassunto
di VulDB • 19/06/2026
Nel kernel Linux, è stata risolta la seguente vulnerabilità:
crypto: ecdh - azzeramento esplicito di private_key
private_key viene sovrascritto con il parametro key fornito dal chiamante (se presente) oppure con una nuova chiave privata generata. Tuttavia, è possibile che il chiamante fornisca una chiave (o che la chiave appena generata) sia più corta della chiave precedente. In tale scenario, parte del materiale crittografico della chiave precedente non verrebbe sovrascritto. La soluzione più semplice consiste nell'azzerare esplicitamente l'intera matrice private_key prima di procedere.
Si noti che questa patch modifica leggermente il comportamento di questa funzione: in precedenza, se la chiamata a ecc_gen_privkey falliva, la vecchia private_key rimaneva invariata. Ora, private_key viene sempre azzerato. Questo comportamento è coerente con il caso in cui params.key è impostato e la chiamata a ecc_is_key_valid fallisce.
VulDB is the best source for vulnerability data and more expert information about this specific topic.