PT-2020-17057 · Rclone+2 · Rclone+2

Victor9

·

Publicado

2020-11-19

·

Atualizado

2024-08-21

·

CVE-2020-28924

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Rclone anteriores à 1.53.3
Descrição
Foi detectada uma falha devido ao uso de um gerador de números aleatórios fraco, fazendo com que o gerador de senhas produzisse senhas fracas com muito menos entropia do que o anunciado. As senhas sugeridas dependem de forma determinística da hora em que o segundo rclone foi iniciado, limitando enormemente a entropia das senhas. Essas senhas são frequentemente usadas no backend crypt para criptografia de dados, tornando possível criar um dicionário de todas as senhas possíveis com cerca de 38 milhões de entradas por comprimento de senha, o que tornaria possível a descriptografia de material secreto com um esforço razoável.
Recomendações
Para versões anteriores à 1.53.3, todas as senhas geradas pelas versões afetadas devem ser alteradas.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-331CWE-338

Identificadores relacionados

ALT-PU-2021-1108
ALT-PU-2021-1154
ALT-PU-2022-1255
BIT-RCLONE-2020-28924
CVE-2020-28924
GHSA-RMW5-XPG9-JR29
GO-2022-0878
OPENSUSE-SU-2020:2008-1
OPENSUSE-SU-2020:2035-1
OPENSUSE-SU-2020:2168-1
OPENSUSE-SU-2020_2008-1
OPENSUSE-SU-2020_2035-1
OPENSUSE-SU-2021:0272-1
OPENSUSE-SU-2024:11297-1

Produtos afetados

Alt Linux
Rclone
Suse