发布日期：2021-08-02
更新日期：2021-08-18

受影响系统：

Pengutronix barebox <= 2021.07.0

描述：

---

CVE(CAN) ID: CVE-2021-37848

Pengutronix barebox是一款使用在嵌入式Linux系统中的引导加载程序。
penguintronix barebox 2021.07.0及之前版本的crypto digest.c存在信息泄露漏洞。该漏洞源于程序在哈希比较过程中使用STRNCMP。攻击者可利用该漏洞导致定时信息泄露。

<**>

建议：

---

厂商补丁：

Pengutronix
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/saschahauer/barebox/commit/0a9f9a7410681e55362f8311537ebc7be9ad0fbe

浏览次数：814
严重程度：0（网友投票）