摘要:
edk2 security update
安全等级: Medium
公告ID: KylinSec-SA-2023-1547
发布日期: 2024年12月4日
关联CVE: CVE-2022-4304
EDK II是一个现代的、功能丰富的、跨平台的固件开发环境,用于UEFI和PI规范。
安全修复:
在OpenSSL的RSA解密实现中存在一个基于时间的侧信道,这可能足以通过网络在Bleichenbacher风格的攻击中恢复明文。为了实现成功的解密,攻击者必须能够发送大量的试验消息以供解密。这个漏洞影响所有RSA填充模式:PKCS#1 v1.5、RSA-OEAP和RSASVE。例如,在TLS连接中,RSA通常被客户端用来向服务器发送加密的预主密钥。观察到客户端和服务器之间真实连接的攻击者可以利用这个缺陷发送试验消息给服务器,并记录处理它们所需的时间。在足够多的消息之后,攻击者可以恢复用于原始连接的预主密钥,从而能够解密通过该连接发送的应用程序数据。(CVE-2022-4304)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2022-4304 | KY3.4-4A | openssl | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python3-edk2-devel | noarch | 202002-16.kb1.ky3_4 |
| edk2-aarch64 | noarch | 202002-16.kb1.ky3_4 |
| edk2-ovmf | noarch | 202002-16.kb1.ky3_4 |
| edk2-help | noarch | 202002-16.kb1.ky3_4 |
| edk2-devel | x86_64 | 202002-16.kb1.ky3_4 |
| edk2-devel | aarch64 | 202002-16.kb1.ky3_4 |
sudof dnf update edk2
