Una falla è stata trovata in libtpms nelle versioni precedenti alla 0.8.2. L’integrazione comunemente usata di libtpms con OpenSSL conteneva una vulnerabilità relativa all’IV restituito (vettore di inizializzazione) quando venivano usati certi cifrari simmetrici. Invece di restituire l’ultimo IV restituiva l’IV iniziale al chiamante, indebolendo così i successivi passi di crittografia e decrittografia. La maggiore minaccia di questa vulnerabilità è la riservatezza dei dati.
https://bugzilla.redhat.com/show_bug.cgi?id=1939664
https://bugzilla.redhat.com/show_bug.cgi?id=1939664
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3446