BDU:2025-12994

Опубликовано: 10 июн. 2025

Источник: fstec

CVSS3: 6.6

CVSS2: 6.2

EPSS Низкий

Описание

Уязвимость функции CryptHmacSign() реализации TCG TPM2 программного стека TPM2 Software Stack связана с чтением памяти за пределами выделенного буфера. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую инфомрацию

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

TPM2 Software Stack

Версия ПО

до 1.83 (TPM2 Software Stack)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,6)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://trustedcomputinggroup.org/wp-content/uploads/VRT0009-Advisory-FINAL.pdf

https://github.com/stefanberger/libtpms/commit/04b2d8e9afc0a9b6bffe562a23e58c0de11532d1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-2884
CVE

EPSS

Процентиль: 3%

0.00017

Низкий

6.6 Medium

CVSS3

6.2 Medium

CVSS2

Связанные уязвимости

CVE-2025-2884

CVSS3: 6.6

nvd

6 месяцев назад

TCG TPM2.0 Reference implementation's CryptHmacSign helper function is vulnerable to Out-of-Bounds read due to the lack of validation the signature scheme with the signature key's algorithm. See Errata Revision 1.83 and advisory TCGVRT0009 for TCG standard TPM2.0

CVE-2025-2884

CVSS3: 5.3

msrc

2 месяца назад

Cert CC: CVE-2025-2884 Out-of-Bounds read vulnerability in TCG TPM2.0 reference implementation

GHSA-3fxc-2crv-fg9x

CVSS3: 9.8

github