Please patch CVEs for package opencryptoki version 3.14.0 INFO (CVEs are): opencryptoki 3.14.0 cves found CVE-2021-3798 Desc: A flaw was found in openCryptoki. The openCryptoki Soft token does not check if an EC key is valid when an EC key is created via C_CreateObject, nor when C_DeriveKey is used with ECDH public data. This may allow a malicious user to extract the private key by performing an invalid curve attack. Link: https://nvd.nist.gov/vuln/detail/CVE-2021-3798 Severity: MEDIUM
*** Bug 13780 has been marked as a duplicate of this bug. ***
opencryptoki 3.14.0 не имеет кода подверженного уязвимости. код появился только с версии 3.15.0.
(In reply to Aleksandr Proklov from comment #2) > opencryptoki 3.14.0 не имеет кода подверженного уязвимости. код появился > только с версии 3.15.0. Да. Смотрим git blame на момент исправляющего уязвимость коммита: https://github.com/opencryptoki/opencryptoki/blame/4e3b43c3d8844402c04a66b55c6c940f965109f0/usr/lib/soft_stdll/soft_specific.c Видим, что уязвимый код был добавлен коммитом https://github.com/opencryptoki/opencryptoki/blob/v3.14.0/usr/lib/soft_stdll/soft_specific.c , который есть только с версии 3.15.0.
неправильная последняя ссылка https://github.com/opencryptoki/opencryptoki/commit/a179fd01a265a98194d9c06ec5958da1dd2ecae3
*** Bug 13285 has been marked as a duplicate of this bug. ***