CVE-2020-8905 (CNNVD-202008-689)
中文标题:
Google Asylo 缓冲区错误漏洞
英文标题:
Confidential Information Disclosure vulnerability in Asylo
漏洞描述
中文描述:
Google Asylo是美国Google公司的一个用于开发可信应用程序的框架。该软件支持创建一个可信任的执行环境,包括软件隔离和硬件隔离。 Asylo 0.6.0之前版本中存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
英文描述:
A buffer length validation vulnerability in Asylo versions prior to 0.6.0 allows an attacker to read data they should not have access to. The 'enc_untrusted_recvfrom' function generates a return value which is deserialized by 'MessageReader', and copied into three different 'extents'. The length of the third 'extents' is controlled by the outside world, and not verified on copy, allowing the attacker to force Asylo to copy trusted memory data into an untrusted buffer of significantly small length.. We recommend updating Asylo to version 0.6.0 or later.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| Google LLC | Asylo | - | < 0.6.0 | - |
cpe:2.3:a:google_llc:asylo:*:*:*:*:*:*:*:*
|
| asylo | * | - | - |
cpe:2.3:a:google:asylo:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
CVSS评分详情
3.1 (cna)
LOWCVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:L/I:N/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2020-8905 |
2025-11-11 15:20:43 | 2025-11-11 07:36:29 |
| NVD | nvd_CVE-2020-8905 |
2025-11-11 14:57:01 | 2025-11-11 07:44:52 |
| CNNVD | cnnvd_CNNVD-202008-689 |
2025-11-11 15:10:29 | 2025-11-11 07:56:25 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 缓冲区错误
- cnnvd_id: 未提取 -> CNNVD-202008-689
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- affected_products_count: 1 -> 2
- data_sources: ['cve'] -> ['cve', 'nvd']