CVE-2023-3674
NiskieCVSS 2.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Wykryto błąd w weryfikatorze attestation Keylime, który nie oznacza urządzenia jako nieufnego, gdy podpis TPM quote nie jest poprawny. Zamiast tego, błąd jest jedynie rejestrowany w logach.
Ocena ryzyka
Organizacja może być narażona na ryzyko, ponieważ urządzenia z niewłaściwymi podpisami mogą być traktowane jako zaufane, co prowadzi do potencjalnych luk w bezpieczeństwie.
Rekomendacja
Zaleca się aktualizację weryfikatora Keylime oraz monitorowanie logów w celu identyfikacji potencjalnych problemów z podpisami TPM.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in the keylime attestation verifier, which fails to flag a device's submitted TPM quote as faulty when the quote's signature does not validate for some reason. Instead, it will only emit an error in the log without flagging the device as untrusted.

