关键信息 漏洞描述 名称: CVE-2024-9355 公开日期: 2024年10月1日 最近修改日期: 2024年10月2日 严重性: 中等 描述: 该漏洞存在于Golang FIPS OpenSSL中,允许恶意用户在FIPS模式下随机导致未初始化的缓冲区长度变量与零化缓冲区一起返回。这可能导致非等效哈希之间的错误匹配,以及在计算哈希时使用预计算的哈希值。 影响的包和Red Hat安全补丁 受影响的包: - NBDE Tang Server - OpenShift Developer Tools and Services - OpenShift Pipelines - OpenShift Serverless - Red Hat Ansible Automation Platform 1.2 - Red Hat Ansible Automation Platform 2 - Red Hat Enterprise Linux 7 受影响的Red Hat安全补丁: - tang-operator-bundle-container - helm - odo - openshift-pipelines-client - openshift-serverless-clients - openshift-clients - automation-gateway-proxy - receptor - host-metering CVSS评分 CVSS v3 Base Score: 6.5 攻击向量: 本地 攻击复杂性: 高 特权要求: 低 用户交互: 无 范围: 不变 机密性影响: 高 完整性影响: 高 可用性影响: 低 承认 发现者: David Benoit (Red Hat) 常见问题 为什么Red Hat的CVSS v3评分或影响与其他供应商不同? 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布修复此漏洞的补丁? 如果我的产品被列为“无法修复”,我该怎么办? 如果我的产品被列为“修复推迟”,我该怎么办? 什么是缓解措施? 我有Red Hat产品,但它不在上述列表中,它是否受影响? 为什么我的安全扫描器报告我的产品存在此漏洞,尽管我的产品版本已修复或不受影响? 其他 免责声明: 该页面由系统自动生成,未进行错误或遗漏检查。如有澄清或更正,请联系Red Hat Product Security。 版权: CVE描述版权 © 2021