PT-2020-14239 · Python · Python Tuf
Florianveaux
·
Publicado
2020-09-09
·
Atualizado
2021-11-18
·
CVE-2020-15163
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Python TUF (The Update Framework) anteriores à 0.12
Descrição
A vulnerabilidade permite que um invasor, capaz de fornecer várias novas versões de metadados raiz por meio de um ataque man-in-the-middle, controle a cadeia de confiança para atualizações futuras, culminando em uma versão que não foi assinada corretamente. Isso ocorre porque a implementação confiará incorretamente em um arquivo de metadados raiz baixado anteriormente que falhou na verificação no momento do download.
Recomendações
Para versões anteriores à 0.12, atualize para a versão 0.12 ou mais recente para resolver o problema. Como solução temporária, considere restringir o uso do arquivo de metadados raiz até que um patch seja aplicado.
Correção
Incorrect Authorization
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Python Tuf