13912 2023-10-18 20:29:25 +0300 [CVE 21] opencryptoki 3.14.0 CVEs found 2024-01-11 07:07:17 +0300 1 1 2 ROSA-based products ROSA Fresh System (kernel, glibc, systemd, bash, PAM...) All All Linux RESOLVED WONTFIX CVE-2021-3798, Normal normal --- 1 y.tumanov bugs a.proklov e.kosachev m.novosyolov s.matveev y.tumanov 2021.1 oldest_to_newest 69800 0 y.tumanov 2023-10-18 20:29:25 +0300 Please patch CVEs for package opencryptoki version 3.14.0 INFO (CVEs are): opencryptoki 3.14.0 cves found CVE-2021-3798 Desc: A flaw was found in openCryptoki. The openCryptoki Soft token does not check if an EC key is valid when an EC key is created via C_CreateObject, nor when C_DeriveKey is used with ECDH public data. This may allow a malicious user to extract the private key by performing an invalid curve attack. Link: https://nvd.nist.gov/vuln/detail/CVE-2021-3798 Severity: MEDIUM 70305 1 v.potapov 2023-10-20 18:01:37 +0300 *** Bug 13780 has been marked as a duplicate of this bug. *** 70963 2 a.proklov 2023-11-15 05:26:43 +0300 opencryptoki 3.14.0 не имеет кода подверженного уязвимости. код появился только с версии 3.15.0. 71435 3 m.novosyolov 2023-12-11 12:09:31 +0300 (In reply to Aleksandr Proklov from comment #2) > opencryptoki 3.14.0 не имеет кода подверженного уязвимости. код появился > только с версии 3.15.0. Да. Смотрим git blame на момент исправляющего уязвимость коммита: https://github.com/opencryptoki/opencryptoki/blame/4e3b43c3d8844402c04a66b55c6c940f965109f0/usr/lib/soft_stdll/soft_specific.c Видим, что уязвимый код был добавлен коммитом https://github.com/opencryptoki/opencryptoki/blob/v3.14.0/usr/lib/soft_stdll/soft_specific.c , который есть только с версии 3.15.0. 71436 4 m.novosyolov 2023-12-11 12:13:53 +0300 неправильная последняя ссылка https://github.com/opencryptoki/opencryptoki/commit/a179fd01a265a98194d9c06ec5958da1dd2ecae3 71894 5 v.potapov 2024-01-11 07:07:17 +0300 *** Bug 13285 has been marked as a duplicate of this bug. ***