PT-2020-6168 · Packagekit+3 · Packagekit+3
Niemimsa
+1
·
Publicado
2020-06-04
·
Atualizado
2022-10-21
·
CVE-2020-16122
CVSS v3.1
8.2
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
PackageKit (versões afetadas não especificadas)
Descrição
O problema está relacionado ao backend do apt do PackageKit, que trata incorretamente todos os pacotes deb locais como confiáveis. Isso é problemático porque o modelo de segurança do apt se baseia na confiança no repositório, e não no conteúdo de arquivos individuais. Como resultado, em sistemas com regras do PolicyKit configuradas, os usuários podem conseguir instalar pacotes maliciosos. A vulnerabilidade está associada a erros no gerenciamento de privilégios, permitindo que um invasor comprometa a integridade dos dados.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Insufficient Verification of Data Authenticity
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Astra Linux
Linuxmint
Packagekit
Ubuntu