PT-2021-2594 · Mozilla+7 · Thunderbird+7

Neal Walfield

·

Publicado

2021-01-26

·

Atualizado

2024-06-15

·

CVE-2021-23993

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Thunderbird anteriores à 78.9.1
Descrição
O problema está relacionado à verificação insuficiente de chaves OpenPGP importadas no cliente de e-mail Thunderbird. Um invasor pode explorar isso para enviar mensagens criptografadas arbitrárias. Especificamente, se um invasor criar uma chave OpenPGP manipulada com uma subchave que tenha uma assinatura própria inválida e um usuário do Thunderbird importar essa chave, o Thunderbird pode tentar usar a subchave inválida. No entanto, a biblioteca RNP a rejeita, fazendo com que a criptografia falhe. Isso pode ser usado para realizar um ataque de Negação de Serviço (DoS), impedindo que um usuário envie e-mails criptografados.
Recomendações
Para versões do Thunderbird anteriores à 78.9.1, atualize para a versão 78.9.1 ou posterior para resolver o problema. Como solução temporária, considere evitar a importação de chaves OpenPGP não confiáveis para minimizar o risco de exploração. Restrinja o uso de chaves OpenPGP potencialmente criadas de forma maliciosa até que o problema seja resolvido.

Correção

DoS

RCE

Improper Verification of Cryptographic Signature

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-347

Identificadores relacionados

ALT-PU-2021-1804
ALT-PU-2021-1886
ALT-PU-2021-1892
BDU:2021-02076
CESA-2021_1192
CESA-2021_1193
CVE-2021-23993
DLA-2632-1
DSA-4897-1
MGASA-2021-0189
OPENSUSE-SU-2021:0580-1
OPENSUSE-SU-2021_0580-1
OPENSUSE-SU-2024:10601-1
RHSA-2021:1190
RHSA-2021:1192
RHSA-2021:1193
RHSA-2021:1201
RHSA-2021_1192
RHSA-2021_1193
USN-4995-1
USN-4995-2

Produtos afetados

Alt Linux
Astra Linux
Centos
Linuxmint
Red Hat
Suse
Thunderbird
Ubuntu