| Summary: | [CVE 21] opencryptoki 3.14.0 CVEs found | ||
|---|---|---|---|
| Product: | [ROSA-based products] ROSA Fresh | Reporter: | Yury <y.tumanov> |
| Component: | System (kernel, glibc, systemd, bash, PAM...) | Assignee: | ROSA Linux Bugs <bugs> |
| Status: | RESOLVED WONTFIX | QA Contact: | ROSA Linux Bugs <bugs> |
| Severity: | normal | ||
| Priority: | Normal | CC: | a.proklov, e.kosachev, m.novosyolov, s.matveev, y.tumanov |
| Version: | All | Flags: | y.tumanov:
secteam_verified?
|
| Target Milestone: | --- | ||
| Hardware: | All | ||
| OS: | Linux | ||
| URL: | CVE-2021-3798, | ||
| Whiteboard: | |||
| Platform: | 2021.1 | ROSA Vulnerability identifier: | |
| RPM Package: | ISO-related: | ||
| Bad POT generating: | Upstream: | ||
|
Description
Yury
2023-10-18 20:29:25 MSK
*** Bug 13780 has been marked as a duplicate of this bug. *** opencryptoki 3.14.0 не имеет кода подверженного уязвимости. код появился только с версии 3.15.0. (In reply to Aleksandr Proklov from comment #2) > opencryptoki 3.14.0 не имеет кода подверженного уязвимости. код появился > только с версии 3.15.0. Да. Смотрим git blame на момент исправляющего уязвимость коммита: https://github.com/opencryptoki/opencryptoki/blame/4e3b43c3d8844402c04a66b55c6c940f965109f0/usr/lib/soft_stdll/soft_specific.c Видим, что уязвимый код был добавлен коммитом https://github.com/opencryptoki/opencryptoki/blob/v3.14.0/usr/lib/soft_stdll/soft_specific.c , который есть только с версии 3.15.0. неправильная последняя ссылка https://github.com/opencryptoki/opencryptoki/commit/a179fd01a265a98194d9c06ec5958da1dd2ecae3 |