CVE-2022-28327

Опубликовано: 20 апр. 2022

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Уязвимость паники приложения в "crypto/elliptic" в Go через длинный скалярный ввод

Описание

В реализации общей функции P-256 в crypto/elliptic языка Go обнаружена уязвимость. Она позволяет вызвать панику приложения, используя слишком длинный скалярный ввод.

Затронутые версии ПО

Go версии до 1.17.9
Go версии 1.18.x до 1.18.1

Тип уязвимости

Паника приложения

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия до 1.17.9 (исключая)

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия от 1.18.0 (включая) до 1.18.1 (исключая)

Конфигурация 2

Одно из

cpe:2.3:a:fedoraproject:extra_packages_for_enterprise_linux:7.0:*:*:*:*:*:*:*

cpe:2.3:a:fedoraproject:extra_packages_for_enterprise_linux:8.0:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:*

EPSS

Процентиль: 31%

0.00111

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2022-28327

CVSS3: 7.5

ubuntu

около 3 лет назад

The generic P-256 feature in crypto/elliptic in Go before 1.17.9 and 1.18.x before 1.18.1 allows a panic via long scalar input.

CVE-2022-28327

CVSS3: 7.5

redhat

около 3 лет назад

The generic P-256 feature in crypto/elliptic in Go before 1.17.9 and 1.18.x before 1.18.1 allows a panic via long scalar input.

CVE-2022-28327

CVSS3: 7.5

msrc

около 3 лет назад

Описание отсутствует

CVE-2022-28327

CVSS3: 7.5

debian

около 3 лет назад

The generic P-256 feature in crypto/elliptic in Go before 1.17.9 and 1 ...

GHSA-v5qw-m6mv-3q79

CVSS3: 7.5

github

около 3 лет назад

The generic P-256 feature in crypto/elliptic in Go before 1.17.9 and 1.18.x before 1.18.1 allows a panic via long scalar input.

EPSS

Процентиль: 31%

0.00111

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo