关键漏洞信息 CVE ID: CVE-2025-49133 发布日期: 2025-06-10 更新日期: 2025-06-10 CNA: GitHub (Maintainer Security Advisories) 标题: Libtpms Contains A Possible Out-Of-Bound Access And Abort Due To HMAC Signing Issue 描述: - Libtpms是一个针对将TPM功能集成到虚拟机监控程序的库,主要面向Qemu。Libtpms源自Trusted Computing Group发布的TPM 2.0参考实现代码。 - 在 函数中存在潜在的越界(OOB)读取漏洞,该函数在 和 参数不一致配对时出现漏洞。 - 报告的漏洞位于 函数,定义在“Part 4: Supporting Routines – Code”文档的第7.151节。 - 此漏洞可以通过向基于受影响TCG参考实现的TPM 2.0软件TPM(swtpm)发送恶意命令从用户模式应用程序触发。 - 对libtpms的影响是会导致由于越界访问而导致的中止,例如使TPM(swtpm)对VM不可用。 CVE: CWE-125: Out-of-bounds Read CVSS: - 分数: 5.9 - 严重性: MEDIUM - 版本: 3.1 - 向量字符串: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:A/H 产品状态: - 厂商: stefanberger - 产品: libtpms - 受影响版本: - 0.7.11 - 0.8.9 - 0.9.6 - 0.10.0 参考资料: - GitHub Advisory - GitHub Commit - Trusted Computing Group Specification - Trusted Computing Group Supporting Routines Code