PT-2020-20383 · Red Hat+3 · Cri-O+3
Miloslav Trmač
+1
·
Publicado
2020-02-12
·
Atualizado
2023-02-13
·
CVE-2020-8945
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do proglottis Go wrapper anteriores à 0.1.1
Descrição
A vulnerabilidade está relacionada a um problema de uso após liberação de memória (use-after-free), que pode causar uma falha no sistema ou, potencialmente, permitir a execução de código durante a verificação da assinatura GPG. Isso se deve a um gerenciamento inadequado da memória, em que a memória passada para o C pode ser liberada antes de ser utilizada, levando a falhas no sistema ou à possível execução de código.
Recomendações
Para versões do proglottis Go wrapper anteriores à 0.1.1, atualize para a versão 0.1.1 ou posterior para resolver o problema. Como solução temporária, considere desativar a verificação de assinatura GPG até que um patch esteja disponível. Restrinja o acesso à biblioteca GPGME para minimizar o risco de exploração. Evite usar o proglottis Go wrapper para baixar imagens de contêiner pelo Docker ou CRI-O até que o problema seja resolvido.
Exploit
Correção
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cri-O
Docker
Gpgme
Proglottis Go Wrapper