Demi M. Obenour

**Nome do software vulnerável e versões afetadas** RPM (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma falha na funcionalidade de assinatura do RPM, na qual subchaves OpenPGP são associadas a uma chave primária por meio de uma “assinatura de ligação”. O RPM não verifica a assinatura de ligação das subchaves antes de importá-las. Isso poderia permitir que um invasor adicionasse uma subchave maliciosa a uma chave pública legítima, fazendo com que o RPM confiasse erroneamente em uma assinatura maliciosa. O maior impacto dessa falha é sobre a integridade dos dados. Para explorar essa falha, um invasor deve comprometer um repositório RPM ou convencer um administrador a instalar um RPM ou uma chave pública não confiável. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Xorg-x11-server (versões afetadas não especificadas) Descrição: Foi identificada uma falha de escalonamento de privilégios devido à falta de autenticação para clientes X11, permitindo que um invasor assuma o controle de um aplicativo X ao se passar pelo servidor ao qual ele espera se conectar. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da libdnf anteriores à 0.60.1 **Descrição** O problema está relacionado a um erro na função de verificação de assinatura da biblioteca libdnf, que gerencia pacotes. Isso poderia permitir que um invasor remoto acessasse dados confidenciais, comprometesse sua integridade e causasse uma negação de serviço. A falha permite que um invasor execute código alterando as informações do cabeçalho de um pacote RPM e induzindo um usuário ou sistema a instalá-lo, representando um risco à confidencialidade, integridade e disponibilidade do sistema. **Recomendações** Para versões anteriores à 0.60.1, atualize para a versão 0.60.1 ou posterior para resolver o problema. Como solução temporária, considere restringir a instalação de pacotes RPM de fontes não confiáveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** RPM (versões afetadas não especificadas) **Descrição** Foi encontrada uma falha na função hdrblobInit() do RPM, localizada em lib/header.c, que permite que um invasor capaz de modificar o rpmdb provoque uma leitura fora dos limites. O maior risco desta vulnerabilidade é à disponibilidade do sistema. A exploração da vulnerabilidade pode permitir que um invasor remoto cause uma negação de serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do RPM anteriores à 4.17.0-alpha **Descrição** Foi identificada uma falha na funcionalidade de leitura do pacote RPM, permitindo que um invasor cause corrupção no banco de dados do RPM ao convencer uma vítima a instalar um pacote aparentemente válido ou ao comprometer um repositório RPM. O maior risco decorrente dessa vulnerabilidade é à integridade dos dados. A exploração também pode permitir que um invasor remoto comprometa a integridade dos dados devido à verificação incorreta da assinatura criptográfica dos dados. **Recomendações** Para versões anteriores à 4.17.0-alpha, atualize para a versão 4.17.0-alpha ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos repositórios RPM e verificar a integridade dos pacotes antes da instalação para minimizar o risco de exploração.