Confira !!
O pacote libjcat anterior à versão 0.1.3-1 é vulnerável a validação insuficiente.
Comunicado de Segurança do Arch Linux ASA-202007-6
=========================================
Gravidade: alta
Data: 2020-07-31
CVE-ID: CVE-2020-10759
Pacote: libjcat
Tipo: validação insuficiente
Remoto: Sim
Link: https://security.archlinux.org/AVG-1185
Resumo
=======
O pacote libjcat antes da versão 0.1.3-1 é vulnerável a
validação insuficiente.
Resolução
==========
Atualize para 0.1.3-1.
# pacman -Syu "libjcat> = 0.1.3-1"
O problema foi corrigido upstream na versão 0.1.3.
Gambiarra
==========
Nenhum.
Descrição
===========
Um desvio de verificação de assinatura PGP foi encontrado no fwupd antes de
1.4.0, e em libjcat <= 0.1.2. A questão é que, se um desanexado
assinatura é realmente uma mensagem PGP, gpgme_op_verify () retorna o
GPG_ERR_NO_ERROR é bastante desconcertante e gpgme_op_verify_result ()
cria uma lista vazia.
Impacto
======
Um invasor local pode passar na validação de assinatura com um
mensagem.
Referências
==========
https://github.com/justinsteven/advisories/blob/master/2020_fwupd_dangling_s3_bucket_and_CVE-2020-10759_signature_verification_bypass.md
https://github.com/hughsie/libjcat/commit/839b89f
https://security.archlinux.org/CVE-2020-10759
Fonte
Até a próxima !
Nenhum comentário:
Postar um comentário