FERRAMENTAS LINUX: Atualização do ArchLinux para o libjcat: insufficient validation, aviso ArchLinux: 202007-6

sexta-feira, 31 de julho de 2020

Atualização do ArchLinux para o libjcat: insufficient validation, aviso ArchLinux: 202007-6



Confira !!



O pacote libjcat anterior à versão 0.1.3-1 é vulnerável a validação insuficiente.
Comunicado de Segurança do Arch Linux ASA-202007-6
=========================================

Gravidade: alta
Data: 2020-07-31
CVE-ID: CVE-2020-10759
Pacote: libjcat
Tipo: validação insuficiente
Remoto: Sim
Link: https://security.archlinux.org/AVG-1185

Resumo
=======

O pacote libjcat antes da versão 0.1.3-1 é vulnerável a
validação insuficiente.

Resolução
==========

Atualize para 0.1.3-1.

# pacman -Syu "libjcat> = 0.1.3-1"

O problema foi corrigido upstream na versão 0.1.3.

Gambiarra
==========

Nenhum.

Descrição
===========

Um desvio de verificação de assinatura PGP foi encontrado no fwupd antes de
1.4.0, e em libjcat <= 0.1.2. A questão é que, se um desanexado
assinatura é realmente uma mensagem PGP, gpgme_op_verify () retorna o
GPG_ERR_NO_ERROR é bastante desconcertante e gpgme_op_verify_result ()
cria uma lista vazia.

Impacto
======

Um invasor local pode passar na validação de assinatura com um
mensagem.

Referências
==========

https://github.com/justinsteven/advisories/blob/master/2020_fwupd_dangling_s3_bucket_and_CVE-2020-10759_signature_verification_bypass.md
https://github.com/hughsie/libjcat/commit/839b89f
https://security.archlinux.org/CVE-2020-10759

Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário