Уязвимость BDU:2025-16174

Уязвимость BDU:2025-16174

Идентификатор: BDU:2025-16174.

Наименование уязвимости: Уязвимость компонента tpm2 checkquote репозитория для инструментов Trusted Platform Module tpm2-tools, позволяющая нарушителю получить доступ к защищаемой информации.

Описание уязвимости: Уязвимость компонента tpm2 checkquote репозитория для инструментов Trusted Platform Module tpm2-tools связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации с помощью специально сформированного файла PCR изменив TPML_PCR_SELECTION
Уязвимое ПО: Операционная система ООО «НЦПР» МСВСфера 9.5 | Прикладное ПО информационных систем TPM Software Stack 2.0 Tpm2-tools до 5.2-4 | Прикладное ПО информационных систем TPM Software Stack 2.0 Tpm2-tools до 5.7 |

Наименование ОС и тип аппаратной платформы: МСВСфера 95 |
Дата выявления: 14.08.2025.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9)

Возможные меры по устранению:
Использование рекомендаций:
Для tpm2-tools:
https://github.com/tpm2-software/tpm2-tools/security/advisories/GHSA-8rjm-5f5f-h4q6
https://github.com/tpm2-software/tpm2-tools/releases/tag/5.7

Для МСВСфера:
https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9424?lang=ru
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-29039.
Прочая информация: Уязвимость tpm2-tools вызвана отсутствием проверки в tpm2_checkquote. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности, изменив TPML_PCR_SELECTION во входном файле PCR, чтобы исказить состояние TPM.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9424?lang=ru
https://github.com/tpm2-software/tpm2-tools/security/advisories/GHSA-8rjm-5f5f-h4q6
https://github.com/tpm2-software/tpm2-tools/releases/tag/5.7

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: