Vulnerabilità: CVE-2020-8918

Un valore non correttamente inizializzata ‘migrationAuth’ in versioni di libreria go-TPM TPM1.2 di Google prima 0.3.0 può portare un attaccante intercettazioni a scoprire il valore di autenticazione per una chiave creata con CreateWrapKey. Un ascolto aggressore sul canale in grado di raccogliere sia ‘encUsageAuth’ e ‘encMigrationAuth’, e quindi in grado di calcolare ‘usageAuth ^ encMigrationAuth’ come il ‘migrationAuth’ può essere indovinato per tutte le chiavi create con CreateWrapKey. TPM2.0 non è influenzato da questo. Si consiglia di aggiornare la libreria a 0.3.0 o successivo, oppure, se non è possibile aggiornare, per chiamare CreateWrapKey con un valore di 20 byte casuale per ‘migrationAuth’.


https://github.com/google/go-tpm/security/advisories/GHSA-5×29-3hr9-6wpw
https://github.com/google/go-tpm/security/advisories/GHSA-5×29-3hr9-6wpw
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8918


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi