Informazioni sul CVE-2024-29040
Fapi Verify Quote: Does not detect if quote was not generated by TPM
CWE ID: CWE-502
Base Score (CVSS): N/A
CVE: CVE-2024-29040
Descrizione: Questo repository ospita codice sorgente che implementa lo Stack Software TPM2 del Trusted Computing Group (TCG) (TSS). Il JSON Quote Info restituito da Fapi_Quote deve essere deserializzato da Fapi_VerifyQuote per raggiungere la Struttura TPM `TPMS_ATTEST`. Per il campo `TPM2_GENERATED magic` di questa struttura, qualsiasi numero può essere utilizzato nella struttura JSON. Il verificatore può ricevere uno stato che non rappresenta lo stato reale, potenzialmente malevolo, del dispositivo sotto test. Il dispositivo malintenzionato potrebbe accedere a dati che non dovrebbe, o può utilizzare servizi che non dovrebbe essere in grado di. Questo problema è stato corretto in versione 4.1.0.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: None, Interazione utente: None, Confidenzialità: Low, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/tpm2-software/tpm2-tss/security/advisories/GHSA-837m-jw3m-h9p6
- https://github.com/tpm2-software/tpm2-tss/releases/tag/4.1.0
Prodotti interessati
- tpm2-software – tpm2-tss
Relazioni con altri prodotti
Produttore:tpm2-software
Prodotto: tpm2-tss
Anno: 2024
CWE: CWE-502
CVSS: 0.0