PT-2020-16248 · Pengutronix · Pengutronix Rauc Update Client
Publicado
2020-12-21
·
Atualizado
2020-12-29
·
CVE-2020-25860
CVSS v2.0
7.1
Alta
| Vetor | AV:N/AC:H/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões anteriores à 1.5 do cliente de atualização Pengutronix RAUC
Descrição
O módulo install.c no cliente de atualização Pengutronix RAUC apresenta uma vulnerabilidade do tipo “Time-of-Check Time-of-Use”. Esse problema ocorre porque a verificação da assinatura de um arquivo de atualização é realizada antes que o arquivo seja reaberto para instalação. Um invasor capaz de modificar o arquivo de atualização imediatamente antes de ele ser reaberto pode instalar código arbitrário no dispositivo.
Recomendações
Para versões anteriores à 1.5, atualize para a versão 1.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao arquivo de atualização para impedir modificações durante o processo de instalação.
Exploit
Correção
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pengutronix Rauc Update Client