CVE-2024-42098 in Linuxinformazioni

Riassunto

di VulDB • 19/06/2026

Nel kernel Linux, è stata risolta la seguente vulnerabilità:

crypto: ecdh - azzeramento esplicito di private_key

private_key viene sovrascritto con il parametro key fornito dal chiamante (se presente) oppure con una nuova chiave privata generata. Tuttavia, è possibile che il chiamante fornisca una chiave (o che la chiave appena generata) sia più corta della chiave precedente. In tale scenario, parte del materiale crittografico della chiave precedente non verrebbe sovrascritto. La soluzione più semplice consiste nell'azzerare esplicitamente l'intera matrice private_key prima di procedere.

Si noti che questa patch modifica leggermente il comportamento di questa funzione: in precedenza, se la chiamata a ecc_gen_privkey falliva, la vecchia private_key rimaneva invariata. Ora, private_key viene sempre azzerato. Questo comportamento è coerente con il caso in cui params.key è impostato e la chiamata a ecc_is_key_valid fallisce.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

Linux

Prenotare

29/07/2024

Divulgazione

29/07/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00210

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!