鲲鹏社区首页
中文
注册
开发者
支持
我要评分
文档获取效率
文档正确性
内容完整性
文档易理解
提交
在线提单
论坛求助

22.0.0.SPC5

本节介绍Kunpeng BoostKit 22.0.0.SPC5 机密计算TrustZone套件补丁解决的问题。

问题单号

DTS:DTS2023020815039

漏洞编号:HWPSIRT-2023-25691

问题描述

条件:TEE内使用RSA非对称加解密、验签。

现象:可通过网络恢复明文数据。

影响:对TEE内应用无影响。

该产品使用了OpenSSL 1.1.1n中的1个安全漏洞,其外部漏洞编码(CVE)为:CVE-2022-4304。

严重级别

严重

根因分析

OpenSSL RSA解密实现中存在基于时间的侧信道漏洞,导致攻击者可能通过网络恢复明文。

解决方案

开源组件合入漏洞修复补丁,更新TEE OS固件。

修改影响

缺陷修复,对其他无影响。

测试用例ID
  1. 在合入OpenSSL开源漏洞patch后,使用OpenSSL官方提供的测试套测试该开源漏洞是否修复。
  2. 产品确认平台引入的开源组件已合入该漏洞patch。
父主题: 解决的问题