PT-2020-18981 · Update Framework · Tuf
Erik Maclean
·
Publicado
2020-02-05
·
Atualizado
2020-08-21
·
CVE-2020-6174
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do TUF (também conhecido como The Update Framework) anteriores à 0.7.1
TUF (também conhecido como The Update Framework) até a versão 0.12.1
Descrição
O problema está relacionado à verificação inadequada de assinaturas criptográficas, permitindo que alguém com acesso a uma chave de assinatura válida crie múltiplas assinaturas válidas e contorne a exigência de um limite mínimo de chaves únicas. Isso permite que um invasor faça com que os metadados pareçam válidos. Uma correção está disponível, e o problema foi relatado por Erick Tryzelaar, da equipe do Google Fuchsia.
Recomendações
Para versões do TUF (também conhecido como The Update Framework) anteriores à 0.7.1, atualize para a versão 0.7.1 para resolver o problema.
Para versões do TUF (também conhecido como The Update Framework) até a 0.12.1, atualize para uma versão posterior à 0.12.1 para resolver o problema.
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tuf